Clear
Lead Graphic Papers

ข่าวสั้น

แจ้งเตือน พบช่องโหว่ใน VLC อาจถูกแฮกยึดเครื่องได้เพียงแค่เปิดดูไฟล์วิดีโอ ควรอัปเดตเป็นเวอร์ชัน 3.0.7

VLC หรือ VideoLAN Client เป็นโปรแกรมเล่นไฟล์มัลติมีเดียแบบ open source ที่ได้รับความนิยมสูง เมื่อวันที่ 21 มิถุนายน 2562 Symeon Paraschoudis นักวิจัยด้านความมั่นคงปลอดภัยจากบริษัท Pen Test Partners ได้รายงานช่องโหว่ด้านความมั่นคงปลอดภัยในโปรแกรม VLC โดยเป็นช่องโหว่ประเภท remote code execution ที่เปิดโอกาสให้ผู้ประสงค์ร้ายสั่งรันโค้ดอันตรายบนเครื่องของเหยื่อเพื่อแฮกเข้ามายึดเครื่องได้ ช่องโหว่นี้มีรหัส CVE-2019-5439 และ CVE-2019-12874 มีผลกระทบกับ VLC เวอร์ชัน 3.0.6 หรือต่ำกว่า

สาเหตุของช่องโหว่เกิดจากข้อผิดพลาดในฟังก์ชันการประมวลผลไฟล์วิดีโอ ทำให้ผู้ประสงค์ร้ายสามารถแทรกโค้ดอันตรายเข้ามาในไฟล์ .avi หรือ .mkv ได้ ซึ่งหากเหยื่อใช้โปรแกรม VLC เปิดไฟล์ดังกล่าว โค้ดอันตรายที่ฝังอยู่ก็จะถูกโหลดไปประมวลผล โดยสิทธิ์ที่ผู้ประสงค์ร้ายได้รับนั้นจะเทียบเท่ากับสิทธิ์ของผู้ใช้ที่เปิดโปรแกรม VLC ทั้งนี้ เนื่องจากช่องโหว่นี้มีผลกระทบกับ VLC เวอร์ชันที่เป็นปลั๊กอินของเบราว์เซอร์ด้วย ดังนั้นการโจมตีอาจไม่ได้จำกัดแค่การส่งไฟล์วิดีโอมาให้เปิดแต่อาจใช้วิธีหลอกให้เหยื่อเข้าไปยังเว็บไซต์ที่มีการเล่นไฟล์วิดีโอก็ได้

ทางผู้พัฒนาโปรแกรม VLC ได้ออกอัปเดตเวอร์ชัน 3.0.7 มาเพื่อแก้ไขช่องโหว่ดังกล่าวแล้ว ผู้ใช้ควรรีบอัปเดตโปรแกรม VLC ให้เป็นเวอร์ชันล่าสุดโดยเร็ว หากยังไม่สามารถอัปเดตได้ควรงดใช้โปรแกรม VLC เปิดไฟล์วิดีโอและปิดการใช้งานปลั๊กอิน VLC ในเบราว์เซอร์ก่อนเป็นการชั่วคราว

วันที่: 2019-06-24 | ที่มา: The Hacker News, Pen Test Partners, VideoLAN | Share on Facebook Share on Twitter Share on Google+

Clear