LIVE555: una vulnerabilidad ya solucionada

Yago Gómez Trenor - Analista de Seguridad de Vintegris

Yago Gómez Trenor – Analista de Seguridad de Vintegris

Investigadores de seguridad han descubierto una grave vulnerabilidad de ejecución de código en la biblioteca Streaming Media de LIVE555, que está siendo utilizada por los reproductores multimedia populares, incluidos VLC y MPlayer, junto con una serie de dispositivos integrados capaces de transmitir medios.

El medio de transmisión por secuencias de LIVE555, desarrollado y mantenido por Live Networks, es un conjunto de bibliotecas de C ++ que los desarrolladores de aplicaciones utilizan para transmitir multimedia a través de protocolos estándar abiertos como RTP / RTCP, RTSP o SIP.

Las bibliotecas de medios de transmisión LIVE555 admiten la transmisión, recepción y procesamiento de varios formatos de video como MPEG, H.265, H.264, H.263 +, VP8, DV y JPEG, y varios códecs de audio como MPEG, AAC, AMR, AC-3, y Vorbis.

La biblioteca vulnerable está siendo utilizada internamente por muchos programas de medios conocidos como VLC y MPlayer, exponiendo a sus millones de usuarios a ataques cibernéticos.

La vulnerabilidad de ejecución de código, rastreada como CVE-2018-4013, reside en la funcionalidad de análisis de paquetes HTTP del RTSP de LIVE555, que analiza los encabezados HTTP para el túnel RTSP a través de HTTP.

Para aprovechar esta vulnerabilidad, todo lo que un atacante debe hacer es crear y enviar “un paquete que contenga múltiples cadenas ‘Aceptar:’ o ‘x-sessioncookie'” a la aplicación vulnerable, que activará un desbordamiento de búfer de pila en la función ‘lookForHeader’, lo que lleva a la ejecución de código arbitrario.

La vulnerabilidad en Live Networks LIVE555 Media Server versión 0.92, pero el problema de seguridad también puede estar presente en la versión anterior del producto.

Los analistas que encontraron la falla informaron responsablemente la vulnerabilidad a Live Networks el 10 de octubre y revelaron públicamente el problema de seguridad el 18 de octubre, luego de que el proveedor publicara los parches de seguridad el 17 de octubre.

Por Yago Gómez Trenor – Analista de Seguridad de Vintegris