Coloque seu email para assinar o Site e receba notificações sobre novos posts e promoções.

Vulnerabilidade em bibliotecas de streaming usadas por players de mídia populares

Pesquisadores descobriram uma vulnerabilidade de execução de código em bibliotecas de streaming usadas por players de mídia populares, como o VLC ou o MPlayer.


As bibliotecas de transmissão multimídia Live555 usam protocolos de padrões abertos, como RTP/RTCP, RTSP ou SIP, e podem ser usados ​​para criar aplicativos de streaming. Neste sentido, estas bibliotecas em C ++ podem ser usadas para retransmitir, receber e processar padrões ou formatos de compressão, assim como vários codecs de áudio diferente, e têm sido utilizadas por players de mídia para adicionar suporte extra aos seus serviços.

No entanto, pesquisadores do Cisco Talos recentemente descobriram uma vulnerabilidade na função para parsear pacotes HTTP das bibliotecas RTSP do servidor LIVE555, que tem a função de parsear cabeçalhos HTTP para tunelização RTSP sobre HTTP. Nesse sentido, um invasor pode enviar um pacote criado especialmente para essa função falhe, o que permitirá a execução do código.

A biblioteca vulnerável é usada por vários players de mídia conhecidos, como o VLC e o MPlayer, entre outros – com o qual deixa exposto milhões de usuários a possíveis ataques.

Registrada como CVE-2018-4013, a vulnerabilidade pode ser explorada por um cibercriminoso que envie um pacote, que contém muitos “aceitar” ou strings “x-sessioncookie” que podem causar uma sobrecarga do buffer na função “lookForHeader”.

Conforme confirmado pelos pesquisadores, a vulnerabilidade está presente na versão 0.92 do LIVE555 Media Server do Live Networks, embora também possa estar presente nas primeiras versões do produto.

Da mesma forma, depois de ter sido informada sobre a existência dessa vulnerabilidade, a empresa publicou um patch que corrige a falha e que pode ser baixado aqui.

Nenhum comentário:

Postar um comentário

ESET PARCEIRO EM DESTAQUE

+110

Milhões de usuários seguros no mundo todo

+102

prêmios de prestígio VB100

30

anos da tecnologia NOD32

13

centros globais de pesquisa e desenvolvimento

Pages

Política de Privacidade‎ / Devoluções e Garantia‎ / Entregas‎ / Pagamento‎ / Dúvidas mais Frequentes‎
© GROUP FJ SOLUÇÕES SEGURAS LTDA - 2018. Todos os direitos reservados.
Criado por: GROUP FJ.
Tecnologia GROUP FJ.
imagem-logo