Esta falha reside mais precisamente na livraria LIVE5555 Streaming Media, um conjunto de livrarias open source em C++, mantidas pela Live Networks. Suporta padrões abertos como o protocolo RTP/RTCP e RTSP para streaming.
Esta livraria é capaz de processar formatos de vídeo RTP (Real Time Protocol) como H.264, H.265, MPEG, VP8, e DV, e formatos de payload de aúdio RTP como MPEG, AAC, AMR, AC-3 e Vorbis.
Como se pode explorar esta falha?
O atacante pode usar um pacote especialmente criado que contenha múltiplas strings "Accept:" ou "x-sessioncookie", o que resulta no que se designa em segurança por stack-based buffer overflow, levando à execução de código remota.
Tal afeta a funcionalidade do parsing de pacotes HTTP, algo que analisa os headers HTTP aquando dos pedidos de tunneling RTSP por HTTP.
Esta falha designa-se por CVE-2018-4013, expondo milhões de utilizadores dos reprodutores multimédia.
Versões afetadas:
Live Networks LIVE555 Media Server 0.92 e a mais recente
Para fazer download da versão mais recente corrigida diretamente, podes ir aqui: http://www.live555.com/liveMedia/faq.html#latest-version
Mais informações aqui: https://threatpost.com/critical-bug-impacts-live555-media-streaming-libraries/138477/