Mnoho verzí VLC až po 0.8.6 obsahuje bezpečnostní díry
Multimediální (nejen) přehrávač VLC pocházející z dílen VideoLAN obsahuje dvě nepříjemné díry, na něž se překvapivě přichází až nyní. Postižena totiž není jen nejnovější verze 0.8.6, ale také všechny předchozí až po 0.7.0 včetně v případě jedné, a blíže neurčený (patrně hodně do minulosti sahající) počet verzí u druhé. Nabourat se do přehrávače je možné skrze „URL format string injection“, tedy podvržením vhodně konstruovaného URL (jehož zápis splňuje určité podobnosti s zápisem v jazyku C) do open dialogu pro přehrávání Audio CD a Video CD formátů anebo skrze zpracování UDP streamů.
Co se týče první díry, tak principielně totiž VCXD plugin mající přehrávání Audio/Video CD ve VLC na starosti prověřuje všechny prvky v dané lokaci, takže může tuto díru využít jakékoliv chybné, rozuměj „speciálně navržené“, URL (resp. cesta vedoucí k souboru/zařízení).
Pokud dojde k úspěšnému zneužití této díry, může útočník na napadeném stroji v rámci VLC spustit libovolný kód, tedy získává stejná práva jako lokální uživatel. Druhou, jistě ne však tak zábavnou možností (:-) je prostě VLC přehrávač „shodit“. K napadení je samozřejmě potřeba, aby lokální uživatel otevřel nějaké to špatné URL, které však může být podtrčeno i uvnitř nějakého playlistu (M3U apod.) nebo po síti skrze „service discovery“ plugin anebo i po internetu pokud používáte VLC pro přehrávání internetových streamů jako plugin v prohlížeči.
Doporučuje se tedy následující: buď v případě, že Audio/Video CD ve VLC nepřehráváte, ručně odstranit příslušnou knihovnu (libvcdx_plugin.dll ve Windows, libvcdx_plugin.dylib v Mac OS X a libcdda_plugin.so/libvcdx_plugin.so v *nixech), nebo přestat používat VLC jako přehrávač v prohlížeči a také nepoužívat jeho „service discovery“ plugin (SAP, UPnP, Bonjour atd.). K dispozici je již i zdrojový kód opravující tuto chybu, během několika hodin budou zkompilovány nové verze pro Windows/Mac OS X, uživatelé *nixových OS jsou odkázáni na repozitáře své distribuce.
Druhá díra pak postihuje zpracování adres udp://. Její exploit byl úspěšně předveden na Mac OS X a nelze vyloučit její přítomnost ve verzích pro další operační systémy a také ani ve starších verzích VLC. Pokud ve vašem OS kromě VLC provozujete ještě nějaký PERL interpreter, máte problém. Jediným skriptem upravujícím otevření M3U playlistu...
$ perl VLCMediaSlayer-x86.pl $ open pwnage.m3u (...)
...se může opět útočník dostat k možnosti spouštět libovolný kód s právy aktuálně přihlášeného uživatele. Prozatím je jedinou léčbou buď nepoužívání udp://, odinstalování VLC, nebo jeho update na verzi, která se již nachází v CVS.
Update 5.1.: Opravy jsou již zahrnuty v novém VLC 0.8.6a, které můžete stahovat z rychlého českého mirroru pro Windows, Mac OS X (Intel, PPC) a Linux.
David "David Ježek" Ježek
Bývalý zdejší redaktor (2005-2017), nyní diskusní rejpal.
