Internet Home Page Bringing True Journalism Without Fake News Waspadalah! Memutar Video yang Tidak Dipercaya Pada VLC Player Dapat Meretas Komputer Anda

Waspadalah! Memutar Video yang Tidak Dipercaya Pada VLC Player Dapat Meretas Komputer Anda

by Hairiman

Jika Anda menggunakan VLC media player di komputer Anda dan belum memperbaruinya baru-baru ini, jangan Anda bahkan berani memainkan file video yang tidak terpercaya dan diunduh secara acak di dalamnya.

Melakukan hal itu dapat memungkinkan peretas untuk mengambil kendali penuh atas sistem komputer Anda dari jarak jauh.

Itu karena versi perangkat lunak pemutar media VLC sebelum 3.0.7 berisi dua kerentanan keamanan berisiko tinggi , di samping banyak kelemahan keamanan menengah dan rendah lainnya, yang berpotensi menyebabkan serangan eksekusi kode arbitrer.

Dengan lebih dari 3 miliar unduhan, VLC adalah perangkat lunak pemutar media open-source yang sangat populer yang saat ini digunakan oleh ratusan juta pengguna di seluruh dunia di semua platform utama, termasuk Windows, macOS, Linux, serta platform seluler Android dan iOS .

Ditemukan oleh Symeon Paraschoudis dari Pen Test Partners dan diidentifikasi sebagai CVE-2019-12874 , kerentanan tingkat keparahan tinggi pertama adalah masalah bebas ganda yang berada di fungsi “zlib_decompress_extra” fungsi VideoLAN VLC player dan dipicu ketika mem-parsing file MKV yang salah bentuk ketik dalam demuxer Matroska.

Kelemahan berisiko tinggi kedua, diidentifikasi sebagaiCVE-2019-5439 dan ditemukan oleh peneliti lain, adalah masalah baca-buffer overflow yang berada di fungsi “ReadFrame” dan dapat dipicu menggunakan file video AVI yang salah.

vlc kerentanan pemutar media

Meskipun pembuktian konsep yang ditunjukkan oleh kedua peneliti menyebabkan crash, penyerang potensial dapat mengeksploitasi kerentanan ini untuk mencapai eksekusi kode arbitrer dengan hak yang sama seperti pengguna target pada sistem.

Yang perlu dilakukan penyerang adalah membuat file video MKV atau AVI berbahaya dan menipu pengguna agar memainkannya menggunakan versi VLC yang rentan.

Ya, itu bukan pekerjaan yang sulit, karena penyerang dapat dengan mudah menargetkan ratusan ribu pengguna dalam beberapa jam hanya dengan merilis file video berbahaya di situs torrent, meniru sebagai salinan bajakan dari film atau serial TV yang baru dirilis.

Menurut penasehat yang dikeluarkan oleh VideoLAN, mengaktifkan perlindungan ASLR dan DEP pada sistem dapat membantu pengguna mengurangi ancaman, tetapi pengembang mengakui bahwa perlindungan ini juga dapat dilewati.

Paraschoudis menggunakan alat fuzzing honggfuzz untuk menemukan masalah ini dan empat bug lainnya, yang juga ditambal oleh tim VideoLAN awal bulan ini bersama dengan 28 bug lainnya yang dilaporkan oleh peneliti keamanan lain melalui program karunia bug EU-FOSSA.

Pengguna sangat disarankan untuk memperbarui perangkat lunak pemutar media mereka ke versi VLC 3.0.7 atau yang lebih baru dan harus menghindari membuka atau memutar file video dari pihak ketiga yang tidak terpercaya.

You may also like

Leave a Comment