lunes, 10 de junio de 2019

Actualiza VLC cuanto antes: llega su mayor actualización de seguridad


VLC es uno de los reproductores multimedia más utilizados en todo el mundo. Este reproductor multimedia ganó una gran popularidad hace varios años debido a que, además de ser gratuito, era capaz de reproducir cualquier tipo de contenido multimedia sin necesidad de instalar ni configurar ningún codec en nuestro ordenador. Aunque este reproductor multimedia se suele actualizar a menudo, las mismas suelen ser pequeñas, centradas en alguna corrección de errores. Sin embargo, con el lanzamiento de VLC 3.0.7, sus desarrolladores han solucionado un total de 43 vulnerabilidades y fallos de seguridad, una de las mayores actualizaciones de seguridad de su historia.

Este mismo fin de semana, los responsables de VLC lanzaban una nueva actualización de su reproductor multimedia gratuito y de código abierto: VLC 3.0.7. Esta nueva versión se trata de una actualización de seguridad en la que, gracias a la Unión Europea (concretamente a la EU-Free and Open Source Software Auditing) se han corregido un total de 43 vulnerabilidades en el reproductor.

El programa Bug Bounty de la Comunión Europea es un éxito en cuanto a seguridad


Debido a que VideoLan, los responsables del desarrollo y mantenimiento de VLC, son una organización sin ánimo de lucro no tienen presupuesto para ofrecer un programa Bug Bounty.

Aquí es donde entra en juego la Unión Europea y FOSSA, quienes se están encargando de ofrecer programas de recompensas para proyectos libres, como VLC, a través de la plataforma HackerOne, de manera que estas aplicaciones puedan contar con un programa Bug Bounty, patrocinado por la Unión Europea, con el fin de convertirlas en aplicaciones mucho más seguras antes de que sea demasiado tarde.

Las vulnerabilidades detectadas y corregidas en VLC 3.0.7


En total, esta nueva versión de VLC ha corregido 43 vulnerabilidades y fallos de seguridad ocultos en el propio reproductor multimedi y que fácilmente podían poner en peligro la seguridad de los usuarios.

De los 43 fallos de seguridad, 2 de ellos han sido catalogados como «críticos», 21 como de «peligrosidad media» y 20 como «peligrosidad baja».

La primera de las vulnerabilidades más graves se encontraba en la librería faad2 del reproductor, y permitiría escribir en la memoria más allá de los límites del proceso (out-of-bound write) generando corrupción de datos, errores en la aplicación e incluso ejecutar código en la memoria, y la segunda de las vulnerabilidades se encontraba en el módulo RIST de VLC 4.0 y era del tipo buffer overflow.

La Unión Europea ha sido la encargada de pagar las recompensas por encontrar y reportar estas vulnerabilidades. El investigador que más fallos ha reportado ha sido ele7enxxh, gracias al cual se han corregido un total de 13 fallos de seguridad y quien ha recibido una recompensa de más de 13,000 dólares por ellos.

En el siguiente enlace podemos ver la lista completa de cambios y correcciones que han llegado a VLC 3.0.7.

Cómo actualizar a VLC 3.0.7 para corregir todos estos fallos de seguridad


Para instalar esta nueva versión de VLC podemos hacerlo de varias formas. Si ya tenemos el programa instalado en nuestro ordenador, nos dirigimos al apartado de Ayuda, luego pinchamos en Buscar actualizaciones, cuando lo ejecutemos veremos una ventana emergente como la siguiente que nos avisará de la disponibilidad de esta nueva versión.

Actualizar VLC 3.0.7

Aceptamos la actualización y el propio programa se encargará de descargar e instalar el nuevo VLC 3.0.7 directamente en nuestro ordenador, respetando la configuración, los complementos y todo. Cuando finalice la descarga de la nueva versión, reiniciamos el reproductor y comenzará el proceso de actualización.

Proceso de actualización de VLC 3.0.7

Lo seguimos hasta el final y listo, ya tendremos la nueva versión del reproductor de VideoLAN instalada en nuestro ordenador, con todas las correcciones de seguridad de esta.

En caso de no tener VLC instalado, podemos descargar esta nueva versión de forma totalmente gratuita desde el siguiente enlace para instalarla en cualquier ordenador.