VLC Media Player Update Needed: CVE-2024-46461 Discovered
2024/09/26 SecurityOnline — 人気の VLC Media Player ユーザーに求められているのは、新たに発見された任意のコード実行などの脆弱性に対応するために、直ちにソフトウェアを更新することである。それを怠ると、悪意の攻撃により、プログラムがクラッシュする可能性が生じる。VLC の脆弱性 CVE-2024-46461 (CVSS:8.0) は、悪意を持って作成された MMS ストリームを処理する際に引き起こされる、整数オーバーフローに起因している。最も可能性の高い結果はクラッシュであるが、他の脆弱性と組み合わせることで、情報漏洩やリモート・コード実行につながる可能性があると、セキュリティ専門家たちは警告している。
VLC のアドバイザリには、「これらの問題により、プレーヤーがクラッシュする可能性が高いが、それらが連鎖することで、ユーザー情報の漏洩やリモート コード実行につながる可能性も排除できない。ASLR/DEP はコード実行の可能性を減らすために有効であるが、バイパスされる可能性がある」と記されている。
この脆弱性は Mantodea Security GmbH の Andreas Fobian により開示され、すれにパッチがリリースされ、悪用を防ぐための準備は整っている。これまでのところ、この脆弱性を悪用するコード実行の攻撃は確認されていない、リスクは大きく、ただちに対処する必要がある。
良い知らせは、CVE-2024-46461 を悪用する前提として、ユーザーによる特定のアクションが必要になることだ。この攻撃のトリガーは、悪意を持って作成された MMS ストリームを、被害者が明示的に開く場合だけに限定される。予防策として、ユーザーに対して推奨されるのは、最新のセキュリティ パッチを適用できるまで、信頼できないソースからの MMS ストリームを開かないことだ。VLC ブラウザ・プラグインを使用している場合には、それらの機能を一時的に無効化することで、攻撃対象領域を減らすことが可能になる。
最善の対策は、VLC Media Player のバージョンを、3.0.21 以降へと引き上げることだ。この最新バージョンには、脆弱性 CVE-2024-46461に対処するパッチが含まれており、悪用のリスクが大幅に軽減される。
このところ、VLC Media Player の脆弱に関する記事として、2024/06/11 の「VLC Media Player の2つの脆弱性が FIX:直ちにアップデートを!」がよく読まれていて、ちょっと気になっていたところです。ひょっとして、今日の記事で解説されている脆弱性の情報を、参照しようとする人が多くいるのかも知れません。さまざまな局面で利用されているメディア・プレーヤーなので、多くのユーザーがいるのだと思います。脆弱性に、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.