A principios de este mes, VideoLAN, los gestores del reproductor multimedia de código abierto más popular del mundo, VLC, publicó la mayor actualización de seguridad en la historia del programa.
Con un total de 33 parches, incluidos 2 calificados como críticos, 21 medios y 10 bajos, la versión actual de VLC será la 3.0.7.
Pero quizás la parte más interesante de esta historia no sean los propios problemas de seguridad solucionados, sino el proceso a través del cual se encontraron.
Las vulnerabilidades más serias
La primera de las críticas fue CVE-2019-12874, descubierta y documentada en detalle por Symeon Paraschoudis de Pen Test Partners, es un error de escritura fuera de los límites en la biblioteca de decodificadores FAAD2 MPEG-4 y MPEG-2 AAC utilizada por VLC 3.0.6 y anteriores.
La segunda es CVE-2019-5439, un desbordamiento de la pila del búfer en la versión beta 4.0.0 del Reliable Internet Stream Transport (RIST), que potencialmente permite la ejecución de código remoto (RCE) con los privilegios del usuario, si se puede persuadir al usuario para que ejecute un archivo malicioso de video AVI o MKV.
Por otra parte, Jean-Baptiste Kempf de VideoLAN describe los medios como “en su mayoría problemas de seguridad de lecturas fuera de banda, desbordamientos de pilas, NULL-dereference o use-after-free”, que podrían bloquear VLC.
Recompensas por vulnerabilidades
El número de vulnerabilidades sirve para recordar la complejidad de los reproductores multimedia, que deben admitir numerosos formatos de archivo, códecs y procesadores de texto, cualquiera de los cuales puede tener agujeros de seguridad. Sin embargo, según Kempf, el número de vulnerabilidades, en esta ocasión, estuvo directamente relacionado con el programa de recompensas por vulnerabilidades que ofrece el programa EU-FOSSA 2, que recompensa a los piratas informáticos por encontrar fallas críticas en el software de código abierto utilizado por las instituciones de la UE.
Según los estándares de este tipo de programas, este es bastante modesto: solo se habían programado pagos de 220,000 $ a través de las plataformas Intigrity / Deloitte y HackerOne, pero es un paso adelante para las vulnerabilidades en software código abierto, que normalmente se basan en investigadores que solo buscan ayudar a la comunidad.
Sin embargo, encontrar las vulnerabilidades en código abierto no resuelve la cuestión de quién creará la solución, por lo que EU-FOSSA 2 ofrece una bonificación del 20% a los investigadores que se toman el tiempo para hacerlo.
Curiosamente, Kempf admite que no es un fanático de las recompensas por vulnerabilidades sobre la base de que incentivan a los investigadores a encontrarlas, pero no a solucionarlas. Como él dice:
¿Qué tal si le das dinero a VLC en lugar de hackers al azar?
No todass las vulnerabilidades que se envían a VideoLAN son útiles:
Algunos informes fueron más que desagradables, insultantes, impacientes, intentando obtener el doble de recompensa por el mismo error o incluso informaron de los problemas a otros programas (Android uno) para obtener más dinero.
Como se explica en la alerta de VideoLAN, cualquier persona que ejecute 3.0.6 y anteriores debe actualizar a 3.0.7 tan pronto como sea posible, absteniéndose de abrir archivos de terceros que no sean de confianza hasta que lo hagan. VLC no se actualiza automáticamente pero se puede realizar desde el aviso (Tools > Preferences > Privacy & Network Interaction > Activate Update Notifier) que está habilitado para verificar nuevas versiones cada tres días de forma predeterminada.
Como habitualmente recomendamos en este blog, es imprensidible mantenerse al día en las actualizaciones. Cada vez son mayores las vulnerabilidades y por ellos es fundamental actualizar los equipos y estar prtegidos con herramientas de seguridad específicas como Sophos Intercept X o XG Firewall.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario