信息來源:hackernews
根據(jù) ZDNet 報道,在最新版本的 VLC 媒體播放器中發(fā)現(xiàn)了一個嚴重的漏洞,可能支持遠程代碼執(zhí)行和其他惡意操作,而且目前沒有修補程序。
非營利視頻局域網(wǎng)的 VLC 播放器是一款流行的軟件,用于播放和轉換各種音頻和視頻文件。該軟件可適用 Windows、Linux、MacOSX、Unix、IOS 和 Android 系統(tǒng),事件被報道后,這款開源媒體播放器現(xiàn)在已經(jīng)成為德國計算機應急小組(CERT-Bund)最近發(fā)布的安全咨詢的焦點。
CERT-Bund 稱,在 CVSS 3.0 級別上,這個漏洞的打分為 9.8/10,嚴重程度可想而知。它已被命名為為 CVE-2019-13615,此安全漏洞不需要權限升級或用戶交互即可利用。
具體來說,當從 mkv:open in Module/demux/mkv/mkv.cpp 調(diào)用模塊 /demux/mkv/demux.cpp 協(xié)議時,VLC 的 mkv:demux_sys_t:FreeUnuse() 中發(fā)現(xiàn)基于堆的緩沖區(qū)超讀錯誤。ESET 表示:
遠程匿名攻擊者可以利用 vlc 中的漏洞執(zhí)行任意代碼、造成拒絕服務條件、提取信息或操作文件
雖然已經(jīng)知道該漏洞是存在 Windows、Linux 和 Unix 機器上的最新版本的 VLC 中,但并不排除會影響過去版本的可能性。
德國出版物 Heise Online 報告說,只要使用一個特別的 .mp4 文件就有可能觸發(fā)該漏洞,但研究人員和 CERT-Bund 尚未證實這一點。
VLC 正在快速修復,據(jù)兩天前發(fā)布更新的一名開發(fā)人員稱,該漏洞已被授予修補程序的最高優(yōu)先級,修補程序已完成 60% 。
雖然沒有發(fā)布補丁的具體日期,不過幸運的是,目前還沒有發(fā)現(xiàn)有人利用這一漏洞。