O VLC é um dos melhores players multimedia que podemos encontrar. Para além da sua simplicidade de utilização, tem suporte para quase todos os formatos que conhecemos no segmento do audio e video. No entanto, tal como outras ferramentas, o VLC não está imune a vulnerabilidades.
Recentemente Lilith Wyatt, um investigador da Cisco Talos descobriu uma vulnerabilidade grave que permite injectar código remotamente devido a uma vulnerabilidade presente numa das bibliotecas usadas por este leitor e outros que a usam.
O VLC faz uso de um conjunto de bibliotecas Open Source, desenvolvidas em C++, que permitem a transmissão de conteúdos. Segundo uma investigação da Cisco Talos, a vulnerabilidade encontra-se nesse conjunto de bibliotecas designadas de LIVE555 Streaming Media.
Estas bibliotecas garantem o suporte para protocolos como o RTP/RTCP e RTSP para streaming, e fazem também a gestão do payload do RTP para formatos video como o H.264, H.265, MPEG, VP8 e DV e também para formatos audio como o MPEG, AAC, AMR, AC-3 e Vorbis. Este tipo de bibliotecas são usadas normalmente no VLC e também no famoso MPlayer.
Esta falha crítica está documentada com o número CVE-2018-4013 e além de afetar todos os sistemas que tenham o VLC instalado, há informações que tal vulnerabilidade pode também ser explorada em sistema de câmaras (que tenham este player integrado).
Esta vulnerabilidade está presente no VLC que faz uso da biblioteca Networks LIVE555 Media Server, versão 0.92. Entretanto o responsáveis por esta biblioteca já lançaram a respetiva actualização – ver aqui.
Relativamente ao VLC, a última versão, apenas foi lançada no inicio de setembro deste ano. No entanto a vulnerabilidade foi anunciada a 10 de outubro pela Cisco Talos, daí a última versão continuar (provavelmente) com a falha crítica.