VLC 媒体播放器发现漏洞,目前仍未修补

根据 ZDNet 报道,在最新版本的 VLC 媒体播放器中发现了一个严重的漏洞,可能支持远程代码执行和其他恶意操作,而且目前没有修补程序。

非营利视频局域网的 VLC 播放器是一款流行的软件,用于播放和转换各种音频和视频文件。该软件可适用 Windows、Linux、MacOSX、Unix、IOS 和 Android 系统,事件被报道后,这款开源媒体播放器现在已经成为德国计算机应急小组(CERT-Bund)最近发布的安全咨询的焦点。

CERT-Bund 称,在 CVSS 3.0 级别上,这个漏洞的打分为 9.8/10,严重程度可想而知。它已被命名为为 CVE-2019-13615,此安全漏洞不需要权限升级或用户交互即可利用。

具体来说,当从 mkv:open in Module/demux/mkv/mkv.cpp 调用模块 /demux/mkv/demux.cpp 协议时,VLC 的 mkv:demux_sys_t:FreeUnuse() 中发现基于堆的缓冲区超读错误。ESET 表示:

远程匿名攻击者可以利用 vlc 中的漏洞执行任意代码、造成拒绝服务条件、提取信息或操作文件

虽然已经知道该漏洞是存在 Windows、Linux 和 Unix 机器上的最新版本的 VLC 中,但并不排除会影响过去版本的可能性。

德国出版物 Heise Online 报告说,只要使用一个特别的 .mp4 文件就有可能触发该漏洞,但研究人员和 CERT-Bund 尚未证实这一点。

VLC 正在快速修复,据两天前发布更新的一名开发人员称,该漏洞已被授予修补程序的最高优先级,修补程序已完成 60% 。

虽然没有发布补丁的具体日期,不过幸运的是,目前还没有发现有人利用这一漏洞。

 

(稿源:开源中国,封面源自网络。)

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论