محققان امنیتی یک آسیب‌پذیری خطرناک در کتابخانه استریمینگ LIVE555 کشف کرده‌اند. این کتابخانه به‌صورت گسترده توسط نرم‌افزاراهای نمایشگرهای عمومی ویدیو و همچنین در تولید میان‌افزارهای تجهیزات نظارت‌تصویری مانند دوربین مداربسته، DVR، NVR و XVR مورد استفاده قرار گرفته است. کتابخانه چندرسانه‌ای LIVE555، کاربردهای متعددی در ارسال، دریافت و پردازش قالبهای متفاوت ویدیویی از جمله MPEG، H.265، H.264، H.263+، VP8، DV، JPEG video و همچنین کدک‌های صوتی متعدد ازجمله MPEG، AAC، AMR، AC-3 و Vorbis را پشتیبانی می‌نماید.

به گزارش فصلنامه امنیت الکترونیک، کتابخانه‌های LIVE555 در هر دو سمت سرویس دهنده (Server) و سرویس گیرنده (Client) کاربرد دارد. در بسیاری برندهای پرفروش و مشهور نظارت تصویری همچون AXIS، Sony، Vivotek  و Dahua، در تولید میان‌افزار از بخش سرویس دهنده RTSP این کتابخانه (RTSP Server) استفاده شده است[1]. بخش سمت سرویس دهنده (Server Side) این کتابخانه، همان بخشی است که طبق گزارش معتبر CVE-2018-4013 دچار حفره‌ای بحرانی است.  نمایشگرهای مشهور ویدیو نیز همچون VLC از LIVE555 استفاده می کنند. لکن این نمایشگرها مدعی هستند که صرفاً از بخش سرویس گیرنده (Client side) این کتابخانه برای توسعه خود بهره جسته‌اند و به همین دلیل، این آسیب‌پذیری برای کاربران آنها نگرانی ایجاد نخواهد کرد.

خانم لیلس وات، پژوهشگر آزمایشگاه امنیتی هوشمند تالوس سیسکو، این آسیب‌پذیری LIVE555 RTSP در عملکرد HTTP packet-parsing را 18 مهر سال جاری شناسایی کرد و یک هفته بعد، به «بانک اطلاعاتی ملی آسیب‌پذیری‌ها»[2] گزارش نموده است.

[1]. https://live-devel.live555.narkive.com/2V8NUDvh/network-video-cameras-that-use-the-live555-streaming-media-software

 

[2] . https://nvd.nist.gov/vuln/detail/CVE-2018-4013