信息來(lái)源：hackernews

根據(jù) ZDNet 報(bào)道，在最新版本的 VLC 媒體播放器中發(fā)現(xiàn)了一個(gè)嚴(yán)重的漏洞，可能支持遠(yuǎn)程代碼執(zhí)行和其他惡意操作，而且目前沒(méi)有修補(bǔ)程序。

非營(yíng)利視頻局域網(wǎng)的 VLC 播放器是一款流行的軟件，用于播放和轉(zhuǎn)換各種音頻和視頻文件。該軟件可適用 Windows、Linux、MacOSX、Unix、IOS 和 Android 系統(tǒng)，事件被報(bào)道后，這款開(kāi)源媒體播放器現(xiàn)在已經(jīng)成為德國(guó)計(jì)算機(jī)應(yīng)急小組（CERT-Bund）最近發(fā)布的安全咨詢的焦點(diǎn)。

CERT-Bund 稱，在 CVSS 3.0 級(jí)別上，這個(gè)漏洞的打分為 9.8/10，嚴(yán)重程度可想而知。它已被命名為為 CVE-2019-13615，此安全漏洞不需要權(quán)限升級(jí)或用戶交互即可利用。

具體來(lái)說(shuō)，當(dāng)從 mkv：open in Module/demux/mkv/mkv.cpp 調(diào)用模塊 /demux/mkv/demux.cpp 協(xié)議時(shí)，VLC 的 mkv：demux_sys_t：FreeUnuse() 中發(fā)現(xiàn)基于堆的緩沖區(qū)超讀錯(cuò)誤。ESET 表示：

遠(yuǎn)程匿名攻擊者可以利用 vlc 中的漏洞執(zhí)行任意代碼、造成拒絕服務(wù)條件、提取信息或操作文件

雖然已經(jīng)知道該漏洞是存在 Windows、Linux 和 Unix 機(jī)器上的最新版本的 VLC 中，但并不排除會(huì)影響過(guò)去版本的可能性。

德國(guó)出版物 Heise Online 報(bào)告說(shuō)，只要使用一個(gè)特別的 .mp4 文件就有可能觸發(fā)該漏洞，但研究人員和 CERT-Bund 尚未證實(shí)這一點(diǎn)。

VLC 正在快速修復(fù)，據(jù)兩天前發(fā)布更新的一名開(kāi)發(fā)人員稱，該漏洞已被授予修補(bǔ)程序的最高優(yōu)先級(jí)，修補(bǔ)程序已完成 60% 。

雖然沒(méi)有發(fā)布補(bǔ)丁的具體日期，不過(guò)幸運(yùn)的是，目前還沒(méi)有發(fā)現(xiàn)有人利用這一漏洞。