ແຈ້ງເຕືອນ ພົບຊ່ອງໂຫວ່ໃນ VLC ອາດຈະຖືກແຮັກ (Hack) ຍຶດເຄື່ອງຄອມພິວເຕີໄດ້
Posted by Meesaisak on June 25 2019 21:05:27

ແຈ້ງ​ເຕືອນ​ ພົບ​ຊ່ອງ​ໂຫວ່​ໃນ​ VLC ອາດຈະ​ຖືກ​ແຮັກ (Hack) ​ຍຶດ​ເຄື່ອງຄອມພິວເຕີໄດ້ ​ພຽງແຕ່​ເປີດ​ເບິ່ງ​ໄຟ​ລ໌​ວີດີ​ໂອ​ ຄວນ​ອັບ​ເດດ​ເປັນ​ເວີ​ຊັ່ນ​ (Version) 3.0.7 

News Images: vcl.jpg

VLC ຫຼື​ VideoLAN Client ເປັນ​ໂປຣ​ແກຣມ​ຫຼິ້ນ​ໄຟ​ລ໌​ເມົາ​ຕິ​ມີ​ເດຍ (Multimedia) ​ແບບ​ open source ທີ່​ໄດ້ຮັບ​ຄວາມ​ນິຍົມ​ສູງ​ ໃນວັນທີ​ 21 ມິ​ຖຸ​ນາ​ 2019 Symeon Paraschoudis ນັກ​ວິ​ໄຈ​ດ້ານ​ຄວາມປອດ​ໄພ​ຈາກ​ບໍລິສັດ​ Pen Test Partners ໄດ້​ລາຍ​ງານ​ຊ່ອງ​ໂຫວ່​ດ້ານ​ຄວາມປອດ​ໄພ​ໃນ​ໂປຣ​ແກຣມ​ VLC ໂດຍ​ເປັນ​ຊ່ອງ​ໂຫວ່ປະ​ເພດ​ remote code execution ທີ່​ເປີດ​ໂອ​ກາດ​ໃຫ້​ຜູ້​ປະສົງ​ຮ້າຍ​ສັ່ງ​ຣັນ (Run) ​ໂຄດ (Code) ​ອັນຕະລາຍ​ ເທິງ​ເຄື່ອງຄອມພິວເຕີຂອງ​ເຫຍື່ອ​ເພື່ອ​ແຮັກ​ເຂົ້າ​ມາ​ຍຶດ​ເຄື່ອງ​ຄອມພິວເຕີໄດ້​ ຊ່ອງ​ໂຫວ່​ນີ້​ມີລະ​ຫັດ​ CVE-2019-5439 ແລະ​ CVE-2019-12874 ມີ​ຜົນ​ກະທົບ​ກັບ​ VLC ເວີ​ຊັ່ນ​ 3.0.6 ຫຼື ​ຕ່ຳ​ກວ່າ​.


Extended News

ແຈ້ງ​ເຕືອນ​ ພົບ​ຊ່ອງ​ໂຫວ່​ໃນ​ VLC ອາດຈະ​ຖືກ​ແຮັກ (Hack) ​ຍຶດ​ເຄື່ອງຄອມພິວເຕີໄດ້ ​ພຽງແຕ່​ເປີດ​ເບິ່ງ​ໄຟ​ລ໌​ວີດີ​ໂອ​ ຄວນ​ອັບ​ເດດ​ເປັນ​ເວີ​ຊັ່ນ​ (Version) 3.0.7 

News Images: vcl.jpg

VLC ຫຼື​ VideoLAN Client ເປັນ​ໂປຣ​ແກຣມ​ຫຼິ້ນ​ໄຟ​ລ໌​ເມົາ​ຕິ​ມີ​ເດຍ (Multimedia) ​ແບບ​ open source ທີ່​ໄດ້ຮັບ​ຄວາມ​ນິຍົມ​ສູງ​ ໃນວັນທີ​ 21 ມິ​ຖຸ​ນາ​ 2019 Symeon Paraschoudis ນັກ​ວິ​ໄຈ​ດ້ານ​ຄວາມປອດ​ໄພ​ຈາກ​ບໍລິສັດ​ Pen Test Partners ໄດ້​ລາຍ​ງານ​ຊ່ອງ​ໂຫວ່​ດ້ານ​ຄວາມປອດ​ໄພ​ໃນ​ໂປຣ​ແກຣມ​ VLC ໂດຍ​ເປັນ​ຊ່ອງ​ໂຫວ່ປະ​ເພດ​ remote code execution ທີ່​ເປີດ​ໂອ​ກາດ​ໃຫ້​ຜູ້​ປະສົງ​ຮ້າຍ​ສັ່ງ​ຣັນ (Run) ​ໂຄດ (Code) ​ອັນຕະລາຍ​ ເທິງ​ເຄື່ອງຄອມພິວເຕີຂອງ​ເຫຍື່ອ​ເພື່ອ​ແຮັກ​ເຂົ້າ​ມາ​ຍຶດ​ເຄື່ອງ​ຄອມພິວເຕີໄດ້​ ຊ່ອງ​ໂຫວ່​ນີ້​ມີລະ​ຫັດ​ CVE-2019-5439 ແລະ​ CVE-2019-12874 ມີ​ຜົນ​ກະທົບ​ກັບ​ VLC ເວີ​ຊັ່ນ​ 3.0.6 ຫຼື ​ຕ່ຳ​ກວ່າ​.

 

ຜົນກະທົບ 

ສາ​ເຫດ​ຂອງ​ຊ່ອງ​ໂຫວ່​ເກີດ​ຈາກ​ຂໍ້​ຜິດ​ພາດ​ໃນ​ຟັງ​ຊັ່ນ (Function) ​ການ​ປະ​ມວນ​ຜົນ​ໄຟ​ລ໌ວີ​ດີ​ໂອ​ ເຮັດໃຫ້​ຜູ້​ປະສົງ​ຮ້າຍ​ສາມາດ​ແຊກ (ເຊື່ອງ) ​ໂຄດ​ອັນຕະລາຍ​ເຂົ້າ​ມາ​ໃນ​ໄຟ​ລ໌​ .avi ຫຼື​ .mkv ໄດ້​ ຊຶ່ງ​ຫາກ​ເຫຍື່ອ​ໃຊ້​ໂປຣ​ແກຣມ​ VLC ເປີດ​ໄຟ​ລ໌​ດັ່ງ​ກ່າວ​ ໂຄດ​ອັນຕະລາຍ​ທີ່​ຝັງ​ຢູ່​ກໍ​່ຈະ​ຖືກ​ໂຫຼດ​ໄປ​ປະ​ມວນ​ຜົນ​ ໂດຍ​ສິດ​ທິ ທີ່​ຜູ້​ປະສົງ​ຮ້າຍ​ໄດ້ຮັບ​ນັ້ນ​ຈະ​ທຽບ​ເທົ່າ​ກັບ​ສິດທິ​ຂອງ​ຜູ້​ໃຊ້​ທີ່​ເປີດ​ໂປຣ​ແກຣມ​ VLC, ເນື່ອງ​ຈາກ​ຊ່ອງ​ໂຫວ່​ນີ້​ມີ​ຜົນ​ກະທົບ​ກັບ​ VLC ເວີ​ຊັ່ນ​ທີ່​ເປັນ​ປັກ​ອິນ​ (Plugin) ຂອງ​ບຣາວເຊີ (Browser) ອີກດ້ວຍ​ ດັ່ງ​ນັ້ນ ​ການ​ໂຈມ​ຕີ​ອາດຈະ​ບໍ່​ໄດ້​ຈຳ​ກັດ​ພຽງແຕ່​ການ​ສົ່ງ​ໄຟ​ລ໌​ວິ​ດີ​ໂອ​ມາ​ໃຫ້​ເປີດ ​ແຕ່​ອາດ​ໃຊ້​ວິທີ​ຫຼອກລວງ​ໃຫ້​ເຫຍື່ອ​ເຂົ້າໄປ​ຫາ​ເວັບ​ໄຊ​ທີ່​ມີ​ການ​ຫຼິ້ນ​ໄຟ​ລ໌​ວິ​ດີ​ໂອ​ກໍ່ໄດ້​.

 

ຂໍ້ແນະນໍາໃນການປ້ອງກັນ ແລະ ແກ້ໄຂ 

ຜູ້​ພັດທະນາ​ໂປຣ​ແກຣມ​ VLC ໄດ້​ອອກ​ອັບ​ເດດ​ເວີ​​ຊັ່ນ​ 3.0.7 ​ເພື່ອ​ແກ້​ໄຂ​ຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ​ແລ້ວ​ ຜູ້​ໃຊ້​ຄວນ​ຮີບ​ອັບ​ເດດ​ໂປຣ​ແກຣມ​ VLC ໃຫ້ເປັນ​ເວີ​​ຊັ່ນ​ລ່າ​ສຸດ​ໂດຍ​ໄວ​ ຫາກ​ຍັງ​ບໍ່​ສາມາດ​ອັບ​ເດດ​ໄດ້ ​ຄວນຫຍຸດໃຊ້​ໂປຣ​ແກຣມ​ VLC ເປີດ​ໄຟ​ລ໌​ວິ​ດີ​ໂອ ​ແລະ ​ປິດ​ການ​ໃຊ້​ງານ​ປັກ​ອິນ​ VLC ໃນ​ບຣາວ​ເຊີ​ກ່ອນ ຊົ່ວຄາວ.

 

ເອກະສານອ້າງອີງ:

  1. https://thehackernews.com/2019/06/vlc-media-player-hacking.html
  2. https://www.pentestpartners.com/security-blog/double-free-rce-in-vlc-a-honggfuzz-how-to/
  3. https://www.videolan.org/security/sa1901.html