Το Blackmagic επιδιορθώνει κρίσιμα ελαττώματα εκτέλεσης κώδικα DaVinci Resolve

Το Blackmagic επιδιορθώνει κρίσιμα ελαττώματα εκτέλεσης κώδικα DaVinci Resolve

To Blackmagic Software αντιμετώπισε πρόσφατα δύο ευπάθειες ασφαλείας στο εξαιρετικά δημοφιλές λογισμικό DaVinci Resolve που θα επέτρεπε στους εισβολείς να αποκτήσουν την εκτέλεση κώδικα σε μη επιδιορθωμένα συστήματα.

Το DaVinci Resolve είναι μια πλατφόρμα δωρεάν λογισμικού που συνδυάζει επεξεργασία βίντεο και διόρθωση χρωμάτων, οπτικά εφέ, γραφικά κίνησης και εργαλεία μετά την παραγωγή ήχου σε μια ενιαία λύση.

Όπως ισχυρίζεται ο προγραμματιστής του Blackmagic, το DaVinci Resolve είναι «η πιο δημοφιλής λύση επεξεργασίας του Χόλιγουντ» για Mac, Windows και Linux.

Κρίσιμα ελαττώματα απομακρυσμένης εκτέλεσης κώδικα

Τα δύο ελαττώματα ασφαλείας απομακρυσμένης εκτέλεσης κώδικα (RCE), τα οποία παρακολουθούνται ως CVE-2021-40417 και CVE-2021-40418, ανακαλύφθηκαν από ερευνητές ασφαλείας της Cisco Talos και βαθμολογήθηκαν με βαθμολογία σοβαρότητας CVSSv3 9,8/1.

Και οι δύο προκαλούνται από αδυναμίες που εντοπίζονται στην υπηρεσία DPDecoder του DaVinci Resolve και ενεργοποιούνται από μια υπερχείλιση buffer που βασίζεται σε σωρό κατά την αποκωδικοποίηση ενός αρχείου βίντεο ή από ένα εσφαλμένο UUID κατά την ανάλυση αρχείων βίντεο.

“Το [CVE-2021-40417] είναι μια ευπάθεια υπερχείλισης buffer βασισμένη σε σωρό που εμφανίζεται όταν η εφαρμογή αντιμετωπίζει μια συνθήκη υπερχείλισης ακέραιου αριθμού που οδηγεί σε μια επέκταση πρόσημου ενώ προσπαθεί να αποκωδικοποιήσει ένα αρχείο βίντεο”, εξήγησε ο Cisco Talos.

“Εναλλακτικά, το [CVE-2021-40418] θα μπορούσε επίσης να οδηγήσει σε εκτέλεση κώδικα, αλλά αντίθετα ενεργοποιείται ως αποτέλεσμα ενός μη αρχικοποιημένου μέλους αντικειμένου ως αποτέλεσμα ενός εσφαλμένου UUID.”

Τα σφάλματα μπορούν να αξιοποιηθούν από απομακρυσμένους παράγοντες απειλών σε επιθέσεις χαμηλής πολυπλοκότητας, με την επιτυχή εκμετάλλευση να μην απαιτεί έλεγχο ταυτότητας ή αλληλεπίδραση με τον χρήστη.

Διαθέσιμες ενημερώσεις κώδικα  

H Cisco Talos ανακάλυψε τα δύο τρωτά σημεία εκτέλεσης κώδικα κατά την ανάλυση του DaVinci Resolve, έκδοση 17.3.1.0005.

Έκτοτε, η Blackmagic επιδιορθώνει και τα δύο σφάλματα και οι χρήστες συμβουλεύονται να ενημερώσουν το DaVinci Resolve 17.4.3, την πιο πρόσφατη έκδοση για την πλατφόρμα τους, το συντομότερο δυνατό.

“Η Cisco Talos συνεργάστηκε με την Blackmagic για να διασφαλίσει ότι αυτά τα ζητήματα επιλύονται και ότι υπάρχει διαθέσιμη ενημέρωση για πελάτες που επηρεάζονται”, δήλωσε η ομάδα της Cisco Talos.

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *