Zranitelnost je umístěna v komponentě softwaru zodpovědné za přehrávání video souborů ve formátu ASF (Advanced Streaming Format). Napsala to v bezpečnostním upozornění zveřejněném na svých stránkách nezisková organizace VideoLAN, která oblíbený program vyvíjí.
Bezpečnostní firma Secunia označila chybu jako velmi kritickou a řekla, že její úspěšně zneužití může hackerům zajistit možnost překopírování škodlivého kódu do počítače oběti. Chyba může být zneužita nalákáním uživatele k otevření speciálního, účelově vytvořeného ASF souboru.
VideoLAN doporučuje uživatelům vyvarovat se otevírání souborů z nedůvěryhodných zdrojů a také deaktivovat doplňky webových prohlížečů VLC do té doby, než bude problém vyřešen. Ve standardním nastavení instaluje VLC doplňky pro Mozillu Firefox, Internet Explorer, Google Chrome, Apple Safari, Operu a Konqueror. Tyto doplňky umožňují přehrávání video souborů zasazených do webových stránek.
Alternativním řešením je podle společnosti VideoLAN manuální smazání souboru libasf_plugin.dll z instalačního adresáře VLC. Tento krok deaktivuje schopnost softwaru přehrávat ASF videa do té doby, než bude při aktualizaci softwaru nainstalována záplatovaná verze souboru.
Záplata bude součástí VLC 2.0.6, tedy příští verze přehrávače, která je aktuálně k dispozici pouze v nehotovém, testovacím provedení.
Uživatelé Firefoxu, Chromu a Opery mohou v těchto prohlížečích využít funkcionality „klikněte pro přehrávání“ (click-to-play), aby se vyhnuli automatického přehrávání obsahu založeného na inkriminovaném doplňku – což je metoda, která umí blokovat tiché webové útoky zacílené na zranitelnosti v populárních doplňcích prohlížečů jako je Java, Adobe Reader či Flash. Mozilla tento týden oznámila, že plánuje aktivovat click-to-play jako standardní možnost pro všechny doplňky v budoucích verzích Firefoxu, kromě poslední verze doplňku Flash.
Používání přehrávače médií VLC je bezplatné. Tento program je dostupný pro Windows, Mac OS X, Linux a další operační systémy založené na Unixu jako Solaris, FreeBSD, NetBSD, OpenBSD a také pro Android a iOS.
Zdroj: IDG News Service