VLC Media Player Patches Two Vulnerabilities: Users Urged to Update Immediately
2024/06/11 SecurityOnline — 人気のメディアプレーヤー VLC を運営する Videolan は、緊急のセキュリティ・アップデートをリリースし、ユーザーを深刻なリスクにさらす可能性のある、2件の深刻な脆弱性に対処した。VLC デスクトップ/モバイル版で発見された、これらの脆弱性が攻撃者に悪用されると、アプリケーションのクラッシュ/悪意のコード実行/データの不正アクセスなどが生じる可能性がある。
デスクトップ版の脆弱性:悪意のある MMS ストリーム
1つ目の脆弱性は、VLC メディアプレーヤー 3.0.21 未満に影響するもので、MMS (マルチメディア・メッセージング・サービス) ストリームの処理に起因する。特別に細工した MMS ストリームを標的のユーザーに送信することで、この脆弱性を攻撃者は悪用できる。
攻撃が成功すると、サービス拒否 (DoS) 状態に陥り、VLC プレーヤーがクラッシュする可能性がある。さらに憂慮すべきことに、特定のシナリオにおいて攻撃者は、標的ユーザーの権限で任意のコードを実行し、端末の制御を奪う可能性を持つ。
Videolan は、この脆弱性の悪用は確認されていないとしているが、深刻な被害が発生する可能性は高い。このリスクを軽減するため、VLC メディアプレーヤー 3.0.21 以降への、早急な アップデートが強く推奨される。
モバイル版の脆弱性:WiFi ファイル共有を介した、パス・トラバーサル
2つ目の脆弱性は、VLC for iOS 3.5.9 以下に影響を及ぼすものだ。この脆弱性は、WiFi ファイル共有機能に存在し、同じローカル・ネットワーク上の攻撃者に対して、アプリ内の隠しストレージへの、任意のデータのアップロードを許すものだ。
アプリのコンテナ外のデータについては、ダイレクトな読取/変更は不可能だが、この脆弱性を悪用する攻撃者は、デバイスのストレージ容量を枯渇させることで、DoS 攻撃を仕掛けられる。ただし、tvOS 版の VLC は影響を受けない。
対象のユーザーに対して推奨されるのは、VLC for iOS 3.5.9 以降へのアップデートであり、また、また、信頼できないネットワーク上で、WiFi ファイル共有機能を使用しないことでる。
緩和策・回避策
Videolan では、最新バージョンへのアップデートに加えて、ただちにパッチ適用が不可能なユーザーに対して、以下の回避策を推奨している:
- デスクトップ版:信頼できないソースからの MMSストリームを開かないようにする。また、VLC browser plugins を無効化する。
- モバイル版:攻撃者のいる可能性があるネットワーク上で、WiFi ファイル共有を有効化しない。
VLC Media Player について、このブログ内を検索してみたところ、2023/03/16 の「SILKLOADER という検出回避に優れたマルウェア:中国/ロシアの犯罪エコシステムが連携?」や、2022/08/03 の「VirusTotal 報告:マルウェア攻撃で用いられる偽装の手口3パターンとは?」などで、標的として狙われるという記述が見つかりました。なんとなく、侵害とは無縁のように思えてしまう VLC ですが、そんなことは無いようです。現時点では、CVE が採番されていないようですが、ご利用のチームは、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.