Nếu bạn sử dụng trình phát đa phương tiện VLC trên máy tính của mình và chưa cập nhật nó gần đây, bạn không nên phát các tập video được tải xuống ngẫu nhiên, không đáng tin cậy.

Đó là bởi vì các phiên bản phần mềm trình phát đa phương tiện VLC trước 3.0.7 chứa hai lỗ hổng bảo mật có rủi ro cao, bên cạnh nhiều lỗ hổng bảo mật trung bình và mức độ nghiêm trọng thấp khác, có thể dẫn đến các cuộc tấn công thực thi mã tùy ý, cho phép tin tặc từ xa kiểm soát hoàn toàn hệ thống máy tính của bạn.

Với hơn 3 tỉ lượt tải xuống, VLC là phần mềm trình phát đa phương tiện mã nguồn mở cực kỳ phổ biến hiện đang được hàng trăm triệu người dùng trên toàn thế giới sử dụng trên tất cả các nền tảng chính, bao gồm Windows, macOS, Linux, cũng như các nền tảng di động Android và iOS.

Được phát hiện bởi Symeon Paraschoudis từ Pen Test Partners (một tổ chức thử nghiệm và xâm nhập mạng) và được xác định là CVE-2019-12874 - lỗ hổng nghiêm trọng đầu tiên là một vấn đề nằm trong chức năng "zlib_decompress_extra" của trình phát video VLC. Nó được kích hoạt khi phân tích cú pháp loại tập tin MKV không đúng định dạng trong trình giải mã Matroska.

Lỗ hổng rủi ro cao thứ hai, được xác định là CVE-2019-5439, được phát hiện bởi một nhà nghiên cứu khác, là sự cố tràn bộ đệm đọc nằm trong chức năng "ReadFrame" và có thể được kích hoạt bằng tập video AVI không đúng định dạng.

Các bằng chứng đã được cả hai nhà nghiên cứu chứng minh là gây ra sự cố. Kẻ tấn công có thể khai thác các lỗ hổng này để đạt được các đặc quyền giống như của người dùng mục tiêu trên hệ thống. Tất cả những gì kẻ tấn công cần làm là tạo một tập video MKV hoặc AVI độc hại và lừa người dùng phát nó bằng các phiên bản còn tồn tại lỗ hổng của VLC.

Người dùng được khuyến nghị cập nhật phần mềm trình phát đa phương tiện VLC của mình lên phiên bản từ 3.0.7 trở lên và nên tránh mở hoặc phát các tập video từ các bên thứ ba không tin cậy.

Hoàng Thy (Theo The Hacker News)