VLC 媒体播放器发现漏洞,目前仍未修补

作者:深圳市网安计算机安全检测技术有限公司 | 国际 2019/07/24 17:21:11 411
文章来源:http://hackernews.cc/archives/26570

        根据 ZDNet 报道,在最新版本的 VLC 媒体播放器中发现了一个严重的漏洞,可能支持远程代码执行和其他恶意操作,而且目前没有修补程序。

        非营利视频局域网的 VLC 播放器是一款流行的软件,用于播放和转换各种音频和视频文件。该软件可适用 Windows、Linux、MacOSX、Unix、IOS 和 Android 系统,事件被报道后,这款开源媒体播放器现在已经成为德国计算机应急小组(CERT-Bund)最近发布的安全咨询的焦点。

        CERT-Bund 称,在 CVSS 3.0 级别上,这个漏洞的打分为 9.8/10,严重程度可想而知。它已被命名为为 CVE-2019-13615,此安全漏洞不需要权限升级或用户交互即可利用。

        具体来说,当从 mkv:open in Module/demux/mkv/mkv.cpp 调用模块 /demux/mkv/demux.cpp 协议时,VLC 的 mkv:demux_sys_t:FreeUnuse() 中发现基于堆的缓冲区超读错误。ESET 表示:

远程匿名攻击者可以利用 vlc 中的漏洞执行任意代码、造成拒绝服务条件、提取信息或操作文件

        虽然已经知道该漏洞是存在 Windows、Linux 和 Unix 机器上的最新版本的 VLC 中,但并不排除会影响过去版本的可能性。

        德国出版物 Heise Online 报告说,只要使用一个特别的 .mp4 文件就有可能触发该漏洞,但研究人员和 CERT-Bund 尚未证实这一点。

        VLC 正在快速修复,据两天前发布更新的一名开发人员称,该漏洞已被授予修补程序的最高优先级,修补程序已完成 60% 。

        虽然没有发布补丁的具体日期,不过幸运的是,目前还没有发现有人利用这一漏洞。

推荐关注

指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室