安全動(dòng)態(tài)

VLC 媒體播放器發(fā)現(xiàn)漏洞,目前仍未修補(bǔ)

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2019-07-24    瀏覽次數(shù):
 

信息來源:hackernews

根據(jù) ZDNet 報(bào)道,在最新版本的 VLC 媒體播放器中發(fā)現(xiàn)了一個(gè)嚴(yán)重的漏洞,可能支持遠(yuǎn)程代碼執(zhí)行和其他惡意操作,而且目前沒有修補(bǔ)程序。

非營利視頻局域網(wǎng)的 VLC 播放器是一款流行的軟件,用于播放和轉(zhuǎn)換各種音頻和視頻文件。該軟件可適用 Windows、Linux、MacOSX、Unix、IOS 和 Android 系統(tǒng),事件被報(bào)道后,這款開源媒體播放器現(xiàn)在已經(jīng)成為德國計(jì)算機(jī)應(yīng)急小組(CERT-Bund)最近發(fā)布的安全咨詢的焦點(diǎn)。

CERT-Bund 稱,在 CVSS 3.0 級(jí)別上,這個(gè)漏洞的打分為 9.8/10,嚴(yán)重程度可想而知。它已被命名為為 CVE-2019-13615,此安全漏洞不需要權(quán)限升級(jí)或用戶交互即可利用。

具體來說,當(dāng)從 mkv:open in Module/demux/mkv/mkv.cpp 調(diào)用模塊 /demux/mkv/demux.cpp 協(xié)議時(shí),VLC 的 mkv:demux_sys_t:FreeUnuse() 中發(fā)現(xiàn)基于堆的緩沖區(qū)超讀錯(cuò)誤。ESET 表示:

遠(yuǎn)程匿名攻擊者可以利用 vlc 中的漏洞執(zhí)行任意代碼、造成拒絕服務(wù)條件、提取信息或操作文件

雖然已經(jīng)知道該漏洞是存在 Windows、Linux 和 Unix 機(jī)器上的最新版本的 VLC 中,但并不排除會(huì)影響過去版本的可能性。

德國出版物 Heise Online 報(bào)告說,只要使用一個(gè)特別的 .mp4 文件就有可能觸發(fā)該漏洞,但研究人員和 CERT-Bund 尚未證實(shí)這一點(diǎn)。

VLC 正在快速修復(fù),據(jù)兩天前發(fā)布更新的一名開發(fā)人員稱,該漏洞已被授予修補(bǔ)程序的最高優(yōu)先級(jí),修補(bǔ)程序已完成 60% 。

雖然沒有發(fā)布補(bǔ)丁的具體日期,不過幸運(yùn)的是,目前還沒有發(fā)現(xiàn)有人利用這一漏洞。

 
 

上一篇:2019年07月23日 聚銘安全速遞

下一篇:工業(yè)4.0浪潮下,如何保護(hù)邊緣網(wǎng)絡(luò)安全?