Säkerhetshål i VLC Media Player – angrepp möjligt via infekterade videofiler

Säkerhetshål i VLC Media Player – angrepp möjligt via infekterade videofiler

Ett säkerhetshål i populära VLC Media Player gör det möjligt för attackerare att få full tillgång till en användares system. Lyckligtvis finns en enkel lösning på problemet.

Inom mediaspelare blev VLC Media Player, ofta kort kallad VLC, tidigt populär bland datoranvändare. Detta dels då det är en fri mjukvara men kanske främst det breda stödet för kodeks, vilket gjorde att det var en av få färdiga lösningar som klarade av de flesta video- och ljudformaten.

VLC.png

Nu rapporterar säkerhetsforskare hos Pen Test Partners om att de upptäckt ett säkerhetshål i VLC, som tillåter attackerare att ta kontroll över systemet och ge dem samma rättigheter som det inloggade kontot. Detta genom brister i mjukvaran som kan utnyttjas genom att ladda hem infekterade .avi- och .mkv-filer och därefter starta dessa i mediaspelaren VLC.

We didn’t turn the crash into a fully working exploit, but someone with the time and effort could create one. The best mitigation is to update VLC and use the latest version. The moment that someone creates an exploit then Yes, AVs will jump in and start producing signatures and analysing the file.

Nämnvärt är även att säkerhetsforskarna inte gick längre än att krascha mjukvaran, men att den som väljer att lägga ned mer tid skulle kunna få till ett fungerande intrång som utnyttjar säkerhetshålet. Lyckligtvis är det en brist som är lätt åtgärdad genom att helt enkelt uppdatera till den senaste versionen av VLC.

Tidigare i juni lanserades VLC Media Player 3.0.7, där en av nyheterna var just säkerhetsuppdateringar. Den senaste versionen av mediaspelaren finns att ladda på den officiella webbplatsen.

I butiken: SweClockers Logo Tee

Den legendariska SweClockers-gubben! Denna högtidsklädsel passar bäst att använda på särskilt minnesvärda dagar, såsom grafikkortslanseringar, och bör likt andra värdesaker förvaras i kassaskåp. Begränsad upplaga!
Köp här!

Kommentarer till artikeln

23 debattinlägg

Skicka en rättelse
26

Nvidia DLSS kan ge 50 procent högre prestanda i Monster Hunter: World

Efter att ha malts en tid i Nvidias datacenter är det nu dags för Monster Hunter: World att få stöd för uppskalningstekniken DLSS, som ska ge över 50 procent högre bildfrekvens. Läs mer

16

G2A föreslår verktyg för utvecklare – kan låsa utvalda nycklar från att säljas

I ett försök att förbättra ryktet tillkommer nu fler åtgärder från spelbutiken G2A. Om tillräckligt många utvecklare registrerar sig ska en lösning för att låsa utvalda nycklar tas fram. Läs mer

8

Forumet: Sätt upp en Raspberry Pi för styrning av Zigbee-enheter

Är du sugen på att styra hemmet via en Raspberry Pi? I forumet diskuterar medlemmen Glemmy och andra forumiter sina lösningar för enheter som använder den öppna standarden Zigbee. Dela gärna dina erfarenheter! Läs mer

I samarbete med Bredband2
11

Ping och jitter – Nikka reder ut begreppen kring responstider

Höga responstider, ping och mycket jitter kan lätt förstöra spelupplevelsen. I det här avsnittet av Så fungerar berättar Nikka mer om orsaken till problemet och hur det kan avhjälpas. Läs mer

6

AMD Navi-baserat grafikkort hittar ut i databas – troligen Radeon RX 5600

Twitterprofilen Komachi har hittat omnämnanden av en ny AMD-krets i databasen Compubench. Troligen rör det sig om kretsen Navi 14 som kan användas i mellanklassaren Radeon RX 5600. Läs mer

24

Testpilot: Logitech G502 Lightspeed – välbalanserad perfektion

Logitech rycker ut sladden ur en välkänd favorit och testpilot Björn "Deriveh" Höjing värmer upp musmattan för ännu ett mustest. Läs mer

20 ÅR
58

Intervju: Rekordmedlemmen "mrqaffe" har skrivit över 50 000 foruminlägg

I forumet diskuteras allt från modermodem till friluftsliv och en av de mest aktiva medlemmarna är "mrqaffe", som i genomsnitt har skrivit 13 inlägg om dagen de senaste tio åren. Läs mer

138

Intryck av Ryzen 3000-serien från forumet – problem och förslag på lösningar

Lovorden för AMD:s senaste processorfamilj Ryzen 3000 har haglat tätt. Ny teknik kan dock föra med sig barnsjukdomar, och i forumet diskuteras lösningar och optimeringar friskt. Läs mer

I samarbete med Phanteks
31

Guide: Vinklade kopparrör till vattenkylning på tre olika sätt

Kopparrör till vattenkylning är snyggt, men hur går man till väga? Frida visar olika knep för att lyckas och vilka hjälpmedel som finns tillgängliga. Läs mer

79

AMD förtydligar: "PCI Express 4.0 kommer inte till 300- och 400-seriens moderkort"

Den senaste tiden har rykten talat för att äldre AM4-moderkort kan få stöd för PCI Express 4.0, i motsats till AMD:s tidigare uttalanden. Nu förtydligar AMD att stödet bara gäller X570. Läs mer

I samarbete med Corsair
2

Gallerikampen sommaren 2019 är igång – komplett vattenkylningspaket i första pris

En ny omgång av Gallerikampen är redan igång och nu tillkännages priserna. Ett påkostat startpaket för vattenkylning flankeras av RGB-belysning med fläktkontroller och ett nätaggregat. Läs mer

47

Sharp PC-4500 på kontoret – het bärbar dator anno 1987

Oftast är det nya grejer som ramlar in på kontoret, men i bland står det överraskningar i hallen. Som en bärbar dator från Sharp, tillverkad 1987. Läs mer