Mantenedores do popular media player VLC de código aberto corrigiram dois erros de alta gravidade na sexta-feira. As falhas eram uma vulnerabilidade de gravação fora do limite e um bug de estouro de buffer de pilha. Desenvolvedores por trás do software, VideoLAN, disseram que os patches foram dois dos 33 consertos enviados ao media player e parte de um novo programa de recompensas de bugs financiado pela Comissão Européia.

“Esse grande número de problemas de segurança se deve ao patrocínio de um programa de recompensas de bugs financiado pela Comissão Européia, durante o programa FOSSA (Free and Open Source Software Audit)”, escreveu Jean-Baptiste Kempf, presidente da VideoLAN e desenvolvedor de software livre. em um post descrevendo os patches.

Em janeiro, a UE financiou 14 programas de recompensa de bugs na esperança de manter projetos de código aberto que as instituições da UE confiam em segurança..

Os detalhes são escassos sobre os dois bugs de alta gravidade e como eles podem ser explorados. A versão impactada é a VLC 3.0.7.

“Acabamos de lançar o VLC 3.0.7, uma pequena atualização do ramo 3.0.x do VLC. Esta versão é um pouco especial, porque tem mais problemas de segurança do que qualquer outra versão do VLC”, escreveu Kempf.

A vulnerabilidade de gravação fora do limite “não está na base de código do VLC, mas em uma dependência do VLC, a biblioteca do faad2, infelizmente, não mantida”, de acordo com Kempf. O FAAD2 é um decodificador de código aberto MPEG-4 e MPEG-2 AAC e está licenciado sob a GPLv2, de acordo com a Audiocoding.com.

AA falha de estouro do buffer de pilha está vinculada ao VLC 4.0 e está relacionada ao módulo RIST (Reliable Internet Stream Transport), previsto para ser lançado ainda este ano e disponível em versão beta.

Kempf escreveu que a atualização do VLC também incluiu a correção de 21 problemas médios de segurança e 20 problemas de baixa segurança. /p>

“Os problemas de segurança média são principalmente leituras fora de banda, estouro de heap, problemas de segurança de referência nula e uso após a liberação. Esses problemas não devem ser exploráveis ??com o ASLR, mas são importantes de qualquer maneira, porque eles podem travar o VLC”, escreveu ele.

A maior parte das vulnerabilidades relatadas foi encontrada por um usuário do HackerOne, “ele7enxxh”, que ganhou $ 13.260 por relatar 13 bugs descobertos na plataforma do player VLC.

Kempf disse que, além das correções de bugs, a atualização 3.0.7 do VLC é pequena. O programa de recompensas foi criado pela integrante do Parlamento Europeu, Julia Reda. Reda propôs o FOSSA com a esperança de proteger o software de código aberto, depois que a vulnerabilidade do Heartbleed foi descoberta na biblioteca de criptografia de código aberto OpenSSL em 2014.

Além do VLC, o programa de recompensas da UE busca vulnerabilidades em tais projetos de código aberto, como o Filezilla, o Apache Kafka, o Notepad ++ e o PuTTy. O programa foi lançado em 7 de janeiro de 2019.