Blackmagic sửa các lỗi thực thi mã DaVinci Resolve quan trọng

Blackmagic Software gần đây đã giải quyết hai lỗ hổng bảo mật trong phần mềm DaVinci Resolve rất phổ biến cho phép kẻ tấn công thực thi mã trên các hệ thống chưa được vá.

DaVinci Resolve  là một nền tảng phần mềm miễn phí kết hợp chỉnh sửa video và chỉnh sửa màu sắc, hiệu ứng hình ảnh, đồ họa chuyển động và các công cụ hậu kỳ âm thanh trong một giải pháp duy nhất.

Như nhà phát triển Blackmagic đã tuyên bố, DaVinci Resolve là “giải pháp chỉnh sửa phổ biến nhất ở Hollywood” cho Mac, Windows và Linux.

Các lỗi thực thi mã từ xa nghiêm trọng

Hai lỗi bảo mật thực thi mã từ xa (RCE), được theo dõi là  CVE-2021-40417 và  CVE-2021-40418 , đã được các nhà nghiên cứu bảo mật của Cisco Talos phát hiện và được đánh giá với điểm mức độ nghiêm trọng CVSSv3 là 9,8 / 10 .

Cả hai đều do các điểm yếu được tìm thấy trong dịch vụ DPDecoder của DaVinci Resolve gây ra và được kích hoạt bởi lỗi tràn bộ đệm dựa trên heap khi giải mã tệp video hoặc UUID không chính xác khi phân tích cú pháp tệp video.

“[CVE-2021-40417] là lỗ hổng bảo mật tràn bộ đệm dựa trên heap xảy ra khi ứng dụng gặp phải tình trạng tràn số nguyên dẫn đến mở rộng dấu hiệu trong khi cố gắng giải mã tệp video”, Cisco Talos giải thích .

“Ngoài ra, [CVE-2021-40418] cũng có thể dẫn đến thực thi mã, nhưng thay vào đó được kích hoạt do thành viên đối tượng chưa được khởi tạo do UUID không chính xác.”

Các lỗi có thể bị khai thác bởi các tác nhân đe dọa từ xa trong các cuộc tấn công có độ phức tạp thấp, với việc khai thác thành công mà không yêu cầu xác thực hoặc tương tác với người dùng.

Các bản vá lỗi có sẵn

Cisco Talos đã phát hiện ra hai lỗ hổng thực thi mã trong khi phân tích DaVinci Resolve, phiên bản 17.3.1.0005.

Blackmagic kể từ đó đã vá cả hai lỗi và người dùng nên cập nhật lên DaVinci Resolve 17.4.3,  phiên bản phát hành mới nhất  cho nền tảng của họ, càng sớm càng tốt.

Nhóm Cisco Talos cho biết: “Cisco Talos đã làm việc với Blackmagic để đảm bảo rằng những vấn đề này đã được giải quyết và có bản cập nhật cho những khách hàng bị ảnh hưởng.

Bạn có thể tìm thấy thông tin chi tiết về cách cài đặt phần mềm DaVinci Resolve trên thiết bị của mình trong  thay đổi DaVinci Resolve 17.4.3 , được phát hành vào đầu tuần này.

Đề xuất cho bạn

Về tác giả: Vương Công Minh

Nếu bạn đang cần Hosting Wordpress nhanh và mạnh. Tôi khuyến nghị bạn tham khảo Bnix.vn - Nhà cung cấp Hosting/VPS/Server Chuyên Nghiệp Hàng Đầu Việt Nam. Đây là nhà cung cấp đang cung cấp hạ tầng để vận hành ICare24H. Bạn có thể trực tiếp trải nghiệm tốc độ Hosting trên trang web Icare24H và đừng quên dùng mã giảm giá ICARE24H để được giảm giá lên đến 49% cho tất cả các dịch vụ nhé.

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *