根据 ZDNet 报道,在最新版本的 VLC 媒体播放器中发现了一个严重的漏洞,可能支持远程代码执行和其他恶意操作,而且目前没有修补程序。
非营利视频局域网的 VLC 播放器是一款流行的软件,用于播放和转换各种音频和视频文件。该软件可适用 Windows、Linux、MacOSX、Unix、IOS 和 Android 系统,事件被报道后,这款开源媒体播放器现在已经成为德国计算机应急小组(CERT-Bund)最近发布的安全咨询的焦点。
CERT-Bund 称,在 CVSS 3.0 级别上,这个漏洞的打分为 9.8/10,严重程度可想而知。它已被命名为为 CVE-2019-13615,此安全漏洞不需要权限升级或用户交互即可利用。
具体来说,当从 mkv:open in Module/demux/mkv/mkv.cpp 调用模块 /demux/mkv/demux.cpp 协议时,VLC 的 mkv:demux_sys_t:FreeUnuse() 中发现基于堆的缓冲区超读错误。ESET 表示:
远程匿名攻击者可以利用 vlc 中的漏洞执行任意代码、造成拒绝服务条件、提取信息或操作文件
虽然已经知道该漏洞是存在 Windows、Linux 和 Unix 机器上的最新版本的 VLC 中,但并不排除会影响过去版本的可能性。
德国出版物 Heise Online 报告说,只要使用一个特别的 .mp4 文件就有可能触发该漏洞,但研究人员和 CERT-Bund 尚未证实这一点。
VLC 正在快速修复,据两天前发布更新的一名开发人员称,该漏洞已被授予修补程序的最高优先级,修补程序已完成 60% 。
虽然没有发布补丁的具体日期,不过幸运的是,目前还没有发现有人利用这一漏洞。
参考:threatpost