Aggiornamenti recenti Ottobre 9th, 2024 9:00 AM
Ott 23, 2018 Marco Schiaffino News, RSS, Vulnerabilità 0
Chiariamolo subito: il bug individuato dai ricercatori di Cisco Talos non permette a un pirata informatico di colpire un computer attraverso uno streaming video. Nonostante ciò, la vulnerabilità è di quelle che non possono essere sottovalutate.
Come viene spiegato nel report, la falla di sicurezza (CVE-2018-4013) riguarda la funzione di tunneling HTTP integrata in LIVE555 Streaming Media. Si tratta di un pacchetto software che consente l’implementazione dei protocolli standard aperti RTP/RTCP, RTSP e SIP.
Un pirata informatico potrebbe sfruttare il bug per inviare un pacchetto confezionato ad hoc e provocare un buffer overflow, aprendo la strada all’esecuzione di codice in remoto.
Il problema è che LIVE555 è usata da tantissimi progetti. Tra i programmi che integrano le librerie di LIVE555 ci sono VLC, MPlayer, Morgan RTP DirectShowTM Filters, Omnimeeting (un’applicazione per videoconferenze – ndr), Network-Integrated Multimedia Middleware (NMM), LiveMediaStreamer, MediaPortal e Valkka.
Per fortuna il bug può essere sfruttato solo quando il bersaglio sta operando in modalità server e, di conseguenza, i normali player multimediali (come VLC e MPlayer) non rischiano nulla.
Le cose cambiano quando si parla dei software per le videoconferenze o (e ce ne sono parecchi) i programmi usati per gestire telecamere di sorveglianza.
E proprio questo è il caso che rischia di essere più “spinoso”. Dalle parti di LIVE555 assicurano di aver distribuito l’aggiornamento che risolve il problema, ma l’esperienza ci insegna che i produttori di dispositivi IoT non sono particolarmente solerti nella gestione degli aggiornamenti.
Il rischio, infatti, è che la vulnerabilità vada ad arricchire il già nutrito arsenale di exploit utilizzati dai cyber-criminali per reclutare le loro botnet IoT.
Ago 18, 2023 0
Nov 29, 2022 0
Gen 28, 2022 0
Gen 27, 2022 0
Ott 09, 2024 0
Ott 08, 2024 0
Ott 07, 2024 0
Ott 07, 2024 0
Ott 09, 2024 0
Acronis ha rilasciato il suo report “Acronis...Ott 03, 2024 0
Dopo essere entrata in vigora il 17 gennaio 2023, la NIS2...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Ott 01, 2024 0
I ricercatori di ESET hanno scoperto che di recente il...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Ott 09, 2024 0
Acronis ha rilasciato il suo report “Acronis...Ott 08, 2024 0
I ricercatori di ESET hanno scoperto le attività di...Ott 07, 2024 0
I ricercatori di Acronis hanno individuato un attacco...Ott 07, 2024 0
Nel corso dell’ultima settimana, il CERT-AGID ha...Ott 04, 2024 0
Fino a neanche un mese fa l’applicazione di ChatGPT...