Descubren una grave vulnerabilidad en VLC que permite modificar archivos del sistema

por Jordi Bercial 22/07/2019 ...

Una nueva vulnerabilidad ha aparecido en la versión 3.0.7.1 de VLC Media Player, el popular reproductor de video, y se trata de una vulnerabilidad muy grave al recibir una nota CVSS v3.0 de 9.8 sobre 10, constituyendo una de las vulnerabilidades más graves que puede tener una pieza de software.

Esta nota se ha conseguido a través de varios factores que podemos ver en la página que calcula la nota de este código CVSS, y es que no se requiere de interacción por parte del usuario así como ningún permiso especial para realizar este ataque de baja complejidad pero con gran impacto sobre el usuario.

Dicho impacto permite la filtración de archivos almacenados en el equipo de la víctima así como su modificación, de forma que con una simple modificación en algún archivo concreto se puede abrir la puerta a otro malware más severo o incluso la eliminación de datos del sistema, algo que puede llevar también a la disrupción del servicio prestado por dicho equipo.

Por ahora no se conoce ningún parche que solucione esta vulnerabilidad ni si las versiones anteriores se ven afectadas por ella al afectar la vulnerabilidad al módulo encargado del desmultiplexado de los archivos MKV, por lo que una forma temporal de evitar problemas es no ejecutar archivos MKV con el reproductor VLC para evitar llamadas al módulo.

Fin del Artículo. ¡Cuéntanos algo en los Comentarios o ven a nuestro Foro!

Redactor del Artículo: Jordi Bercial

Jordi Bercial

Ávido entusiasta de la tecnología y la electrónica. Cacharreo con componentes de ordenador casi desde que aprendí a andar. Empecé a trabajar en Geeknetic tras ganar un concurso en su foro sobre redacción de artículos de hardware. Amante del Drift, la mecánica y la fotografía. No te cortes y deja un comentario en mis artículos si tienes alguna consulta.

Comentarios y opiniones sobre: Descubren una grave vulnerabilidad en VLC que permite modificar archivos del sistema ¿Qué opinas? ¿Alguna pregunta?