Cảnh báo xem video trên VLC Player có thể hack máy tính của bạn

Nếu bạn đang sử dụng trình xem video VLC Player trên máy tính và chưa cập nhật phiên bản mới nhất, bạn sẽ gặp nguy cơ nếu khởi chạy các tập tin video tải ngẫu nhiên trên mạng internet.

Nguy hiểm hơn là khi nguy cơ này còn cho phép hacker chiếm toàn quyền quản lý hệ thống máy tính của bạn.

Bởi trình xem video VLC Player các phiên bản cũ hơn 3.0.7 đang chứa hai lỗ hổng bảo mật nghiêm trọng, bên cạnh nhiều lỗ hổng bảo mật có nguy cơ ở mức trung và thấp, có thể dẫn đến tấn công mã thực thi.

Với hơn 3 tỷ lượt tải, VLC Player là một phần mềm xem video nguồn mở có lượng người sử dụng khổng lồ, hiện tại đang được sử dụng bời hàng trăm người dùng trên toàn thế giới trên nhiều hệ điều hành khác nhau, trong đó có Windows, macOS, Linux và cả Android, iOS.

Được phát hiện bởi Symeon Paraschoudis từ Pen Test Partners, lỗ hổng CVE-2019-12874 là lỗ hổng nghiêm trọng đầu tiên, nằm trong chức năng “zlib_decompress_extra” của trình phát VLC trong việc giải mã loại tập tin MKV.

Lỗ hổng nghiêm trọng thứ hai được xác định là CVE-2019-5439 và được phát hiện bởi một nhà nghiên cứu khác, là sự cố tràn bộ đệm đọc nằm trong chức năng “ReadFrame” và có thể được kích hoạt bằng tập tin AVI không đúng định dạng.

Thông qua các dẫn chứng được chứng minh bởi hai nhà nghiên cứu bảo mật đã cho thấy, kẻ tấn công có thể khai thác những lỗ hổng bảo mật này để kích hoạt mã thực thi độc hại nhằm tấn công hệ thống của nạn nhân.

Tất cả những gì mà kẻ tấn công cần làm là tạo ta một tập tin MKV hoặc AVI độc hại có thể lừa người dùng mở tập tin khi đang sử dụng phiên bản chưa được vá lỗi của VLC.

Đây không phải là một việc khó khăn gì, bởi kẻ tấn công có thể dễ dàng tiếp cận hàng trăm ngàn người dùng trong vài giờ chỉ bằng cách phát hành các video độc hại trên các trang torrent, lừa rằng đây là một bản copy của phim nào đó vừa mới phát hành.

Theo thông tin được phát hành bởi VideoLAN, việc kích hoạt hai tính năng bảo vệ ASLR và DEP trên hệ thống có thể giúp người dùng tránh được nguy cơ, nhưng các nhà phát triển lại thừa nhận rằng những tính năng bảo vệ này cũng có thể bị qua mặt.

Người dùng nên nhanh chóng cập nhập phần mềm VLC 3.0.7 hoặc các phiên bản mới hơn để phòng chống, và tránh mở các tập tin video từ các nguồn không đáng tin cậy.

Minh Hương