Con el
lanzamiento de VLC 3.0.7, sus desarrolladores han solucionado un total de 43
vulnerabilidades y fallos de seguridad, una de las mayores actualizaciones de
seguridad de su historia.
Este mismo fin de semana, los
responsables de VLC lanzaban una nueva actualización de su reproductor
multimedia gratuito y de código abierto: VLC 3.0.7. Esta nueva versión se trata
de una actualización de seguridad en la que, gracias a la Unión Europea
(concretamente a la EU-Free and Open Source Software Auditing) se han corregido
un total de 43 vulnerabilidades en el reproductor.
El programa Bug Bounty de la Comunión
Europea es un éxito en cuanto a seguridad
Debido a que VideoLan, los
responsables del desarrollo y mantenimiento de VLC, son una organización sin
ánimo de lucro no tienen presupuesto para ofrecer un programa Bug Bounty.
Aquí es donde entra en juego la Unión
Europea y FOSSA, quienes se están encargando de ofrecer programas de
recompensas para proyectos libres, como VLC, a través de la plataforma
HackerOne, de manera que estas aplicaciones puedan contar con un programa Bug Bounty,
patrocinado por la Unión Europea, con el fin de convertirlas en aplicaciones
mucho más seguras antes de que sea demasiado tarde.
Las vulnerabilidades detectadas y
corregidas en VLC 3.0.7
En total, esta nueva versión de VLC ha
corregido 43 vulnerabilidades y fallos de seguridad ocultos en el propio
reproductor multimedi y que fácilmente podían poner en peligro la seguridad de
los usuarios.
De los 43 fallos de seguridad, 2 de
ellos han sido catalogados como «críticos», 21 como de «peligrosidad media» y
20 como «peligrosidad baja».
La primera de las vulnerabilidades más
graves se encontraba en la librería faad2 del reproductor, y permitiría
escribir en la memoria más allá de los límites del proceso (out-of-bound write)
generando corrupción de datos, errores en la aplicación e incluso ejecutar
código en la memoria, y la segunda de las vulnerabilidades se encontraba en el
módulo RIST de VLC 4.0 y era del tipo buffer overflow.
La Unión Europea ha sido la encargada
de pagar las recompensas por encontrar y reportar estas vulnerabilidades. El
investigador que más fallos ha reportado ha sido ele7enxxh, gracias al cual se
han corregido un total de 13 fallos de seguridad y quien ha recibido una
recompensa de más de 13.000 dólares por ellos.
En el siguiente enlace podemos ver la
lista completa de cambios y correcciones que han llegado a VLC 3.0.7. (https://www.videolan.org/developers/vlc-branch/NEWS
)
Cómo actualizar a VLC 3.0.7 para
corregir todos estos fallos de seguridad
Para instalar esta nueva versión de
VLC podemos hacerlo de varias formas. Si ya tenemos el programa instalado en
nuestro ordenador, cuando lo ejecutemos veremos una ventana emergente como la
siguiente que nos avisará de la disponibilidad de esta nueva versión.
Aceptamos la actualización y el propio
programa se encargará de descargar e instalar el nuevo VLC 3.0.7 directamente
en nuestro ordenador, respetando la configuración, los complementos y todo.
Cuando finalice la descarga de la nueva versión, reiniciamos el reproductor y
comenzará el proceso de actualización.
Lo seguimos hasta el final y listo, ya
tendremos la nueva versión del reproductor de VideoLAN instalada en nuestro
ordenador, con todas las correcciones de seguridad de esta.
En caso de no tener VLC instalado, podemos
descargar esta nueva versión de forma totalmente gratuita desde el siguiente
enlace de forma totalmente gratuita para instalarla en cualquier ordenador.(
https://www.videolan.org/index.es.html
)
Fuente: VideoLAN