อัพเดทเวอร์ชั่นล่าสุดด่วน! พบช่องโหว่ใน VLC อาจถูกแฮกยึดเครื่องได้

ThaiCert แจ้งเตือนการพบช่องโหว่ในโปรแกรม VLC ผู้ใช้งานอาจถูกแฮกยึดเครื่องได้เพียงแค่เปิดดูไฟล์วิดีโอ ให้ทำการอัพเดทเป็นเวอร์ชัน 3.0.7

พบช่องโหว่ใน VLC อาจถูกแฮกยึดเครื่องได้

ThaiCert VLC Security Advisory

ตามรายงานจาก ThaiCert เมื่อวันที่ 24 มิถุนายนที่ผ่านมา เปิดเผยว่า VLC หรือ VideoLAN Client เป็นโปรแกรมเล่นไฟล์มัลติมีเดียแบบ open source ที่ได้รับความนิยมสูง เมื่อวันที่ 21 มิถุนายน 2562 Symeon Paraschoudis นักวิจัยด้านความมั่นคงปลอดภัยจากบริษัท Pen Test Partners ได้รายงานช่องโหว่ด้านความมั่นคงปลอดภัยในโปรแกรม VLC โดยเป็นช่องโหว่ประเภท remote code execution ที่เปิดโอกาสให้ผู้ประสงค์ร้ายสั่งรันโค้ดอันตรายบนเครื่องของเหยื่อเพื่อแฮกเข้ามายึดเครื่องได้ ช่องโหว่นี้มีรหัส CVE-2019-5439 และ CVE-2019-12874 มีผลกระทบกับ VLC เวอร์ชัน 3.0.6 หรือต่ำกว่า

สาเหตุของช่องโหว่เกิดจากข้อผิดพลาดในฟังก์ชันการประมวลผลไฟล์วิดีโอ ทำให้ผู้ประสงค์ร้ายสามารถแทรกโค้ดอันตรายเข้ามาในไฟล์ .avi หรือ .mkv ได้ ซึ่งหากเหยื่อใช้โปรแกรม VLC เปิดไฟล์ดังกล่าว โค้ดอันตรายที่ฝังอยู่ก็จะถูกโหลดไปประมวลผล โดยสิทธิ์ที่ผู้ประสงค์ร้ายได้รับนั้นจะเทียบเท่ากับสิทธิ์ของผู้ใช้ที่เปิดโปรแกรม VLC ทั้งนี้ เนื่องจากช่องโหว่นี้มีผลกระทบกับ VLC เวอร์ชันที่เป็นปลั๊กอินของเบราว์เซอร์ด้วย ดังนั้นการโจมตีอาจไม่ได้จำกัดแค่การส่งไฟล์วิดีโอมาให้เปิดแต่อาจใช้วิธีหลอกให้เหยื่อเข้าไปยังเว็บไซต์ที่มีการเล่นไฟล์วิดีโอก็ได้

ทางผู้พัฒนาโปรแกรม VLC ได้ออกอัพเดทเวอร์ชัน 3.0.7 มาเพื่อแก้ไขช่องโหว่ดังกล่าวแล้ว ผู้ใช้ควรรีบอัพเดทโปรแกรม VLC ให้เป็นเวอร์ชันล่าสุดโดยเร็ว หากยังไม่สามารถอัพเดทได้ควรงดใช้โปรแกรม VLC เปิดไฟล์วิดีโอและปิดการใช้งานปลั๊กอิน VLC ในเบราว์เซอร์ก่อนเป็นการชั่วคราว

ที่มา : ThaiCert