Az .asf egy konténerformátum, mely a streaming, azaz sugárzott médiára jellemző, például internetes tévé vagy más adásoknál, és ez a konténer .wmv kiterjesztésű videót, néha csak .wma kiterjesztésű hangot tartalmaz. A sugárzott média jellemzője még, hogy nem lehet egyben letölteni (de a VLC-nek van erre funkciója), azaz egy nagy videócsomag helyett kis csomagokból áll. A böngészőkbe is beépül általában egy VLC plugin az ilyen multimédiás tartalmak kezelésére (is).

Biztonsági cégek és a VLC media player fejlesztői is arra hívták fel a figyelmet, hogy a népszerű multimédiás alkalmazásban egy súlyos biztonsági hiba található.

http://biztonsagportal.hu/sulyos-hiba-a-nepszeru-multimedias-alkalmazasban.html

írja a biztonsagportal.hu

A kiberbűnözés figyelmét a multimédiás alkalmazásokban található sérülékenységek sem szokták elkerülni, különösen akkor nem, ha olyan biztonsági hibákra derül fény, amelyek jogosulatlan kódfuttatásra adhatnak lehetőséget. Ezáltal ugyanis képesek lehetnek kártékony kódok terjesztésére, és az érintett rendszerek - akár különösebb felhasználói közreműködés nélküli - kompromittálására. A napokban a népszerű VLC media player alkalmazás kapcsán ütötte fel a fejét egy olyan sebezhetőség, amelynek kihasználásával lehetőség nyílhat tetszőleges kódok futtatására.

A biztonsági rés létezését a VLC media player fejlesztői mellett többek között a Secunia biztonsági cég is megerősítette, amely azt kritikus veszélyességűnek minősítette. A sérülékenységet a multimédiás alkalmazáshoz tartozó azon komponensek, illetve pluginek tartalmazzák, amelyek az ASF (Advanced Streaming Format) videók feldolgozásáért és megjelenítéséért felelősek. Ebből az is következik, hogy a hiba speciálisan szerkesztett ASF-tartalmak révén válhat kihasználhatóvá. Amennyiben a támadóknak sikerül a saját javukra fordítaniuk a rendellenességet, akkor puffertúlcsordulási hibát tudnak előidézni (a DemuxPacket() nevű függvény meghívásán keresztül).

A sebezhetőség a VLC media player 2.0.5-ös és az ennél régebbi kiadásaiban is megtalálható. Az alkalmazás telepítésekor alapértelmezésként felkerülnek a hibás pluginek a számítógépre, amelyek a Mozilla Firefox, az Internet Explorer, a Google Chrome, az Apple Safari, az Opera és a Konqueror szoftverekhez települnek, így ezen webböngészők esetében a hiba kihasználásának elvi lehetősége mindenképpen adott.

Mit lehet tenni?

A fejlesztők dolgoznak a hiba kiküszöbölésén. A biztonsági frissítésre az alkalmazás 2.0.6-os verziójának megjelenésével egy időben fog sor kerülni. Az új verzió megjelenéséig pedig néhány kockázatcsökkentő lépést lehet megtenni. Most fokozottan igaz, hogy csak megbízható forrásból származó videókat célszerű megtekinteni az alkalmazás segítségével. Emellett pedig a fejlesztők szerint a védekezés elősegíthető az ASF-feldolgozást végző bővítményekhez tartozó (libasf_plugin.*) fájlok eltávolításával. Ez esetben azonban a multimédiás szoftver nem lesz képes lejátszani az ASF-tartalmakat.