根據 ZDNet 報道,在最新版本的 VLC 媒體播放器中發現了一個嚴重的漏洞,可能支持遠程代碼執行和其他惡意操作,而且目前沒有修補程序。
非營利視頻區域網的 VLC 播放器是一款流行的軟體,用於播放和轉換各種音頻和視頻文件。該軟體可適用 Windows、Linux、MacOSX、Unix、IOS 和 Android 系統,事件被報道后,這款開源媒體播放器現在已經成為德國計算機應急小組(CERT-Bund)最近發布的安全諮詢的焦點。
CERT-Bund 稱,在 CVSS 3.0 級別上,這個漏洞的打分為 9.8/10,嚴重程度可想而知。它已被命名為為 CVE-2019-13615,此安全漏洞不需要許可權升級或用戶交互即可利用。
具體來說,當從 mkv:open in Module/demux/mkv/mkv.cpp 調用模塊 /demux/mkv/demux.cpp 協議時,VLC 的 mkv:demux_sys_t:FreeUnuse() 中發現基於堆的緩衝區超讀錯誤。ESET 表示:
遠程匿名攻擊者可以利用 vlc 中的漏洞執行任意代碼、造成拒絕服務條件、提取信息或操作文件
雖然已經知道該漏洞是存在 Windows、Linux 和 Unix 機器上的最新版本的 VLC 中,但並不排除會影響過去版本的可能性。
德國出版物 Heise Online 報告說,只要使用一個特別的 .mp4 文件就有可能觸發該漏洞,但研究人員和 CERT-Bund 尚未證實這一點。
VLC 正在快速修復,據兩天前發布更新的一名開發人員稱,該漏洞已被授予修補程序的最高優先順序,修補程序已完成 60% 。
雖然沒有發布補丁的具體日期,不過幸運的是,目前還沒有發現有人利用這一漏洞。
參考:threatpost
[admin
]
來源:OsChina
連結:https://www.oschina.net/news/108486/vlc-media-player-vulnerability-no-fix
VLC 媒體播放器發現漏洞,目前仍未修補已經有183次圍觀
