หน้าแรก Security Hacker พบช่องโหว่บน VLC ที่เปิดให้แฮ็กเกอร์รันโค้ดด้วยสิทธิ์ของผู้ใช้ จากระยะไกลได้

พบช่องโหว่บน VLC ที่เปิดให้แฮ็กเกอร์รันโค้ดด้วยสิทธิ์ของผู้ใช้ จากระยะไกลได้

แบ่งปัน

ทาง VideoLan ได้ออก VLC เวอร์ชั่นล่าสุด 3.0.11 ที่แก้ปัญหาช่องโหว่ที่เปิดให้รันโค้ดจากระยะไกลบน VLC media player 3.0.10 และเวอร์ชั่นก่อนหน้า สำหรับช่องโหว่นี้อยู่ภายใต้รหัส CVE-2020-13428 ซึ่งผู้โจมตีจากระยะไกลสามารถทำให้ระบบเป้าหมายเกิดภาวะ Buffer Overflow ได้

โดยโจมตีส่วน H26X packetizer ของ VLC ด้วยไฟล์ที่สร้างขึ้นมาเป็นพิเศษ ผลที่ตามมาคือ ตัวโปรแกรมอาจค้าง หรือแม้แต่เปิดช่องให้รันโค้ด Arbitrary ด้วยสิทธิ์ระดับของผู้ใช้เป้าหมาย

แม้ปัญหาหลักของช่องโหว่นี้ดูเป็นแค่การทำให้โปรแกรมใช้ไม่ได้ก็ตามแต่ก็ไม่สามารถมองข้ามความเสี่ยงที่ทำให้ข้อมูลผู้ใช้รั่วไหล หรือเปิดให้รันโค้ดจากระยะไกลได้เช่นกัน แม้จะมีฟีเจอร์อย่าง ASLR และ DEP คอยกรองอีกชั้นก็ตาม ทั้งนี้ การใช้ประโยชน์จากช่องโหว่ดังกล่าว ผู้ใช้ปลายทางจำเป็นต้องเปิดไฟล์อันตรายขึ้นมาก่อน

ทาง VideoLan ออกมายืนยันว่า ยังไม่เคยได้รับรายงานถึงการใช้ช่องโหว่นี้รันโค้ดของผู้โจมตีแต่อย่างใด อย่างไรก็ดี แนะนำผู้ใช้ให้อัพเดท VLC Media Player เป็นเวอร์ชั่น 3.0.11 เพื่ออุดช่องโหว่ และหลีกเลี่ยงการเปิดไฟล์จากแหล่งที่ไม่น่าเชื่อถือ

ที่มา : GBHackers