Siapasih yang tidak tahu VLC media player, sebuah aplikasi pemutar audio dan video yang banyak digemari oleh para penguna komputer diseluruh dunia dan menjadi sangat populer hingga sekarang. Namun apabila kamu belum sempat mengupdate aplikasi tersebut baru-baru ini, harap berhati-hatilah jika ingin menyetel video dari sumber yang tidak dapat dipercaya.
Baru-baru ini ditemukan sebuah celah keamanan yang sangat riskan, dimana hacker dapat mengontrol penuh semua kendali atas pc kamu dari jarak jauh, hal ini disampaikan karena pada versi sebelum 3.0.7 berisi dua celah keamanan berisiko tinggi, di samping banyak kelemahan keamanan menengah dan rendah lainnya, yang berpotensi menyebabkan serangan arbitary code executor.
Dengan lebih dari 3 miliar unduhan, VLC adalah perangkat lunak pemutar media open-source yang sangat populer yang saat ini digunakan oleh ratusan juta pengguna di seluruh dunia di semua platform utama, termasuk Windows, macOS, Linux, serta platform seluler Android dan iOS .
Menurut informasi yang kami dapatkan dari The Hacker News celah kemanan ini ditemukan oleh Symeon Paraschoudis dari Pen Test Partners dan diidentifikasi sebagai CVE-2019-12874, kerentanan tingkat keparahan tinggi pertama adalah masalahyang berada di fungsi “zlib_decompress_extra” fungsi VideoLAN VLC player dan dipicu ketika mem-parsing file MKV yang salah bentuk ketik dalam demuxer Matroska.
Cacat berisiko tinggi kedua, yang diidentifikasi sebagai CVE-2019-5439 dan ditemukan oleh peneliti lain, adalah masalah baca-buffer overflow yang berada di fungsi “ReadFrame” dan dapat dipicu menggunakan file video AVI yang salah.
Meskipun pembuktian konsep yang ditunjukkan oleh kedua peneliti tersebut menyebabkan crash, para peretas bisa saja mengeksploitasi kerentanan ini untuk mencapai arbitary code executor dengan hak yang sama seperti pengguna target pada sistem.
Yang perlu dilakukan penyerang adalah membuat file video MKV atau AVI berbahaya dan menipu pengguna agar memainkannya menggunakan versi VLC yang rentan.
Menurut penasehat yang dikeluarkan oleh VideoLAN, mengaktifkan perlindungan ASLR dan DEP pada sistem dapat membantu pengguna mengurangi ancaman, tetapi pengembang mengakui bahwa perlindungan ini juga dapat dilewati.
Paraschoudis menggunakan alat fuzzing honggfuzz untuk menemukan masalah ini dan empat bug lainnya, yang juga ditambal oleh tim VideoLAN awal bulan ini bersama dengan 28 bug lainnya yang dilaporkan oleh peneliti keamanan lain melalui sebuah program bug bounty EU-FOSSA.
Pengguna sangat disarankan untuk memperbarui perangkat lunak pemutar media mereka ke versi VLC 3.0.7 atau yang lebih baru dan harus menghindari membuka atau memutar file video dari pihak ketiga yang tidak terpercaya.
Jangan lupa untuk membaca berita dan artikel menarik lainya tentang tech dari Rizki