Исследователи Cisco Talos опубликовали подробный обзор опасной RCE-уязвимости CVE-2018-4013 в стриминговой библиотеке live555 компании Live Networks, которую используют многие популярные медиаплееры. LIVE555 Streaming Media – это набор C++ библиотек с открытым исходным кодом, разработанных для потоковой передачи мультимедийных данных и работы с протоколами RTP/RTCP, RTSP или SIP.
Аналитики пишут, что проблема связана с парсингом HTTP-пакетов и всего один специально созданный пакет может спровоцировать переполнение буфера стека и привести к исполнению произвольного кода.
Однако в своем отчете специалисты Cisco прибегли к весьма интересной формулировке. Они упоминают, что live555 поддерживает серверную и клиентскую стороны, а также используется множеством популярных медиаплееров, включая VLC и MPlayer.
При этом исследователи почему-то не акцентируют внимание на том, что уязвимость проявляется лишь на серверной стороне, а упомянутые медиаплееры используют только клиентскую часть live555.
В итоге во многих СМИ уже успели появиться сообщения об опасной уязвимости, которой подвержены VLC и MPlayer, хотя это не так. Теперь разработчики VLC подчеркивают в Twitter, что эксперты Cisco не писали прямо об уязвимости их решения, и объясняют, что брешь в live555 для их медиаплеера неопасна. То же самое относится и к MPlayer.
Are you _sure_ about what you are claiming?
— VideoLAN (@videolan) October 22, 2018
VLC uses live555 client side, and not server side. The vulnerability is on the RTSP Server class...
Also, Talos report does not say VLC is impacted.