fbpx

Vulnerabilidad crítica de VLC Media Player: sin parche de seguridad

23Jul

Vulnerabilidad crítica de VLC Media Player: sin parche de seguridad

By Noticias, Seguridad Comentarios desactivados en Vulnerabilidad crítica de VLC Media Player: sin parche de seguridad

Actualización:  corregimos la información publicada sobre la vulnerabilidad crítica de VLC Player, al parecer no fue un error directamente del programa, sino de los medios y el sector de seguridad. VLC, el reproductor más popular se vio sumido en una campaña de desprestigio en donde se le acusaba de error, daño y vulnerabilidad, y solicitaban su cuidado, por un fallo ya había sido parcheado desde hace más de un año.

«Fue analista de seguridad que «redescubrió» la vulnerabilidad pudo reproducirla se debe a que estaba usando una versión sin soporte de Ubuntu. En vez de contrastar si su versión era la última y qué versiones eran vulnerables, abrió un reporte por el canal incorrecto, notificándose en el bugtracker de VLC en vez de por el email privado de seguridad preparado para ello. Debido a que el fallo no era reproducible en sistemas actualizados y a la falta de información, el reporte no pudo tratarse»

Dicha vulnerabilidad que permitía la ejecución remota de código (RCE) ya fue solucionada hace 16 meses, e incluida con la versión 3.0.3 de VLC hace más de un año, siendo la versión actual la 3.0.7.

Suele ser muy común para todos nosotros descargar aplicaciones, herramientas, software y programas en nuestros ordenadores puesto que estas nos facilitan actividades, realizan funciones específicas que son de nuestro interés y suelen mejorar la capacidad y el rendimiento de nuestro dispositivo. En esta medida, sin duda alguna, tener actualizados y parcheados nuestros equipos es primordial. ¿Pero qué pasa cuando una vulnerabilidad se hace pública hasta el punto de afectar estos servicios tan utilizados por nosotros? Esto está viviendo el reconocido programa VLC Media Player, una vulnerabilidad crítica.

Vulnerabilidad crítica que afecta a VLC Media Player

VLC Media Player, uno de los software más reconocidos hoy en día, con más de 3 mil millones de descargas y utilizado por cientos de millones de usuarios en todo el mundo en todas las plataformas principales, se encuentra pasando por una crisis ante una vulnerabilidad crítica que afecta su versión más reciente.

La vulnerabilidad en su versión 3.0.7.1 y denominada como CVE-2019-13615 por el equipo Alemán de Respuesta a Emergencias Informáticas (CERT-Bund), se encuentra predominante en máquinas Windows, Linux y Unix. Tal parece que los operadores de macOS no se han visto afectados.

No es la primera vez que VLC se enfrenta a una vulnerabilidad. Recientemente tuvo una recaída que junto a una actualización de seguridad VLC corrigió mas de 40 fallos.

¿Cómo funciona la vulnerabilidad?

«Un atacante anónimo y remoto puede explotar la vulnerabilidad en VLC para ejecutar código arbitrario, provocar una condición de denegación de servicio, exfiltrar información o manipular archivos», como lo señala ESET.

Si un ciberdelincuente lograra explotar esta vulnerabilidad podría obtener información del usuario de forma no autorizada. Incluso podría modificar los archivos o parar el servicio.

En el momento, no existe un parche que pueda proteger los equipos de esta vulnerabilidad, pero VLC le otorgó la prioridad “más alta” en la búsqueda de una pronta solución. Igualmente, VLC Media Player recomienda evitar abrir el programa hasta que la vulnerabilidad haya sido corregida.

Recomendaciones para evitar ser víctima de este tipo de vulnerabilidades:

Por obvias razones, a nosotros como usuarios se nos hace muy difícil predecir o conocer cuándo este tipo de situaciones, ataques o vulnerabilidades van a suceder. Pero sí podemos tener en cuanta algunas recomendaciones, que por más obvias y repetitivas que parezcan, mitigan ciertas actividades.

  • Fuentes oficiales: tener en cuenta a la hora de descargar cualquier aplicación o programa, que la fuente sea confiable y oficial. De esta forma evitamos, o al menos reducimos el riesgo, descargar software que ha sido modificado de forma maliciosa.
  • Programas y Herramientas de seguridad: Es importante siempre contar con software de seguridad que nos permita eliminar posibles amenazas y evitar que entren intrusos en nuestro equipo. Soluciones de antivirus, antispyware y firewall de Eset, Kaspersky y Fortinet son algunas de las soluciones recomendadas para enfrentar estas actividades.
  • Actualizaciones: Son los propios fabricantes quienes lanzan estas actualizaciones de seguridad. Es de vital importancia que los instalemos tan pronto como estén disponibles. En el caso de la vulnerabilidad que afecta a VLC Media Player, próximamente habrá una nueva versión disponible.

Si desea conocer más soluciones no dude en escribirnos, consultar por medio de nuestra línea de ayuda online o contactarnos aquí .

Acerca de NSIT SAS:

Somos una empresa de consultoría, asesoría y prestación de servicios en sistemas. Iniciamos labores en Enero del 2003 con el fin de poner al servicio de nuestros clientes un conocimiento interdisciplinario dentro de la gama de conocimientos que nos presenta la tecnología. Brindamos productos y soluciones respaldados por marcas como Fortinet, Acronis, Kaspersky, Eset entre otras.

A través de nuestros procesos, hemos logrado posicionarnos a nivel nacional, siendo prestadores de servicios de varias de las más grandes empresas del país, así como la ampliación de nuestros servicios en el territorio nacional, contando con sedes en Medellín y Bogotá.

Share this post

Author

Related Posts

Imagen ilustrativa de ciberseguridad e inteligencia artificial para contenido del blog
04Sep

Explorando la Conexión entre IA y Ciberseguridad

Con la llegada de la Inteligencia Artificial, se ha producido una transformación... read more

Analisis de vulnerabilidades vs Pententing
29Ago

Análisis de Vulnerabilidades vs Pentesting

Muchos de nuestros clientes que han llegado buscando alguna solución en particular... read more

01Ago

El ESET Security Days 2023 llega a Colombia | NSIT

ESET, empresa especializada en detección de amenazas y vendedor de ciberseguridad número... read more