Lilith Wyatt, especialista de segurança da Cisco Talos, descobriu uma vulnerabilidade crítica de execução remota de código (CVE-2018-4013) na biblioteca de streaming LIVE555 que é usada por players de media populares, incluindo o VLC e MPlayer.
A biblioteca e capaz de suportar vários formatos, como H.264, H.265, MPEG, VP8, etc.
LIVE555 Streaming Media is able to process video RTP payload formats such as H.264, H.265, MPEG, VP8, and DV, and audio RTP payload formats such as MPEG, AAC, AMR, AC-3 and Vorbis.
Um atacante pode explorar a vulnerabilidade enviando um pacote especialmente criado contendo várias cadeias “Accept:” ou “x-sessioncookie” que acionam um stack-based buffer overflow, resultando na execução de código.
A vulnerabilidade afeta a funcionalidade de análise de pacotes HTTP que analisa os cabeçalhos HTTP para o tunelling RTSP sobre HTTP.
“An exploitable code execution vulnerability exists in the HTTP packet-parsing functionality of the LIVE555 RTSP server library. A specially crafted packet can cause a stack-based buffer overflow, resulting in code execution. An attacker can send a packet to trigger this vulnerability.” reads the advisory published by Talos.
A falha CVE-2018-4013 expõe potencialmente milhões de utilizadores a ataques informáticos.
A falha afeta o Live Networks LIVE555 Media Server, versão 0.92 e provavelmente a versão anterior do produto, uma atualização de segurança já foi emitida para resolver a vulnerabilidade.
Recomenda-se que os utilizadores afetados atualizem suas instalações para a versão mais recente.
Os especialistas lançaram as seguintes regras do SNORT para detectar tentativas de exploração dessas vulnerabilidades: