19:30
18/7/2011

* Poważne dziury w VLC

Właśnie wyszła nowa wersja 1.1.111 popularnego media playera VLC. Łata ona poważne błędy, które pozwalają atakującemu na zdalne wykonanie kodu na maszynie ofiary. Aby atak się powiódł, ofiara musi otworzyć odpowiednio spreparowany plik multimedialny (RealMedia).

Użytkownikom VLC zalecamy jak najszybszą aktualizację.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.


6 komentarzy

Dodaj komentarz
  1. Pomimo tego nowego wydania 1.1.111 wciąż Secunia PSI pokazuje, że są dziury… Co jest z tym VLC? Nie mogą raz a porządnie załatać?

  2. Jeśli na firewall’u (Comodo) zablokowałem dostęp do internetu dla [vlc.exe], a poza tym wogóle nie korzystam z plików RealMedia, to jest powód do stresu?

    • Naprawdę nie łatwiej zrobić upgrade? Malware może wygenerować nowy plik, albo skorzystać z innych technik wyjścia z systemu. vlc.exe nie będzie łączyło się bezpośrednio z internetem.

    • Zaktualizować faktycznie łatwiej – o ile nie trzeba tego zrobić na garści komputerów bez dostępu do internetu (proces aktualizacji VLC to, niezależnie od dostępu do internetu, deinstalacja poprzedniej wersji z opcją zachowania konfiguracji i instalacja nowej). Poza tym to już nie pierwszy raz, kiedy krótko po załataniu VLC okazało się, że ma kolejną lukę.
      Z VLC nie zamierzam się rozstać bo jest lekarstwem na żonglowanie codec pack’ami i tym podobnymi. Pytam jedynie, czy jest sposób, by uczynić te luki nieskutecznymi (np. czy skanowanie aktualnym Avast’em – u mnie standard – wykryłoby taki ukuchcony plik AVI jako zagrożenie)?

    • Polecam PSI (Personal Security Inspector) od Secunii. Bardzo ułatwia zarządzanie nieaktualnym oprogramowaniem. Na antywirusie (niezależnie jakiej firmy) nie polegałbym w tym przypadku.

  3. Rozumiem, że jak exe to błąd dotyczy tylko windowsów?
    A tak w ogóle to jak się używa stabilnej wersji debiana to lepiej czekać na dodanie poprawek bezpieczeństwa do repozytorium, czy po przeczytaniu takiej informacji aktualizować samemu?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: