Aunque actualmente los servicios en streaming estén en pleno crecimiento, son muchos los usuarios que aún usan aplicaciones para ver vídeos en sus ordenadores y móviles de manera local, es decir, para reproducir archivos directamente.

Tanto en Windows como en Android y otras plataformas hay muchas opciones disponibles, incluyendo las que se ponen por defecto, pero una de las más populares es VLC, el reproductor que presume de integrar la mayoría de códecs necesarios para reproducir cualquier vídeo.

Pues si eres de los millones de usuarios que usa este reproductor, es mejor que vayas a actualizarlo ahora mismo, si no quieres ser una de las posibles víctimas de un ataque informático.

VLC y MPlayer son los reproductores afectados

El método usado para atacar los dispositivos en los que se usan estos dos reproductores es una vulnerabilidad en la librería LIVE555 que se usa para decodificar algunos vídeos en formato H.264, H.265, MPEG, VP8 o DV pero también para archivos de audio como los MPEG, AAC, AMR, AC-3 y Vorbis.

Este descubrimiento ha sido realizado por un investigador de Cisco Talos Intelligence Group que ha visto cómo los reproductores que usan esa librería pueden ser afectados por un ataque de desbordamiento de búfer.

En qué consiste el ataque

vlc

Cuando un programa informático no puede gestionar bien toda la información que debe guardar en memoria es posible que acabe guardando datos que no debe o hacerlo en posiciones de memoria que no le están asignadas. Obviamente esto es un fallo de programación pero permitiría a un atacante realizar peticiones (en este caso mediante el protocolo HTTP) para inyectar código que acabaría ejecutándose en el ordenador o dispositivo atacado.

Cómo solucionar la brecha de seguridad

Por suerte, los responsables de la librería afectada ya han solventado el problema en la última versión de su protocolo, y avisado a los programas que la usan.

Para no estar expuestos a este problema lo que tenemos que hacer es simplemente actualizar nuestra aplicación, desde la página web de la empresa o desde la plataforma que usemos para actualizar nuestras apps y programas.

Noticias relacionadas