- A+
VLC Media Player中的关键缓冲区溢出漏洞尚不存在可以启用远程代码执行的补丁。
VLC开源媒体播放器具有严重严重性错误,可以启用远程代码执行和其他恶意操作。 更糟糕的是,没有修补漏洞的补丁。
由VideoLAN项目开发的VLC媒体播放器被超过31亿用户使用。 该漏洞( CVE-2019-13615 )存在于Windows,Linux和UNIX版本的VLC 3.0.7.1(媒体播放器的最新版本)中。
德国安全机构CERT-Bund上周末发布的消息称,“远程匿名攻击者可以利用VLC中的漏洞执行任意代码,创建拒绝服务状态,泄露信息或操纵文件”。 CERT-Bund发现了这个漏洞。
根据美国国家标准与技术研究院(NIST)的数据 ,在CVSS 3.0规模上,该漏洞的排名为10.8(满分10分)。 尽管严重程度较高,但此漏洞目前尚无补丁。 VideoLAN没有回应Threatpost的评论请求。
据VideoLAN称, 目前正在开展创建补丁的工作,该补丁大约完成了60%。 据CERT-Bund称,尚未观察到漏洞的利用。
虽然漏洞的细节很少,但CERT-Bund表示,这个漏洞源于对内存缓冲区范围内操作的不当限制。
具体来说,当mkv ::在模块/ demux /中打开时,媒体播放器的modules / demux / mkv / demux.cpp函数中的mkv :: demux_sys_t :: FreeUnused()中存在VLC媒体播放器的基于堆的缓冲区过度读取漏洞MKV / mkv.cpp。
这只是VLC媒体播放器中的最新漏洞。 6月早些时候,在媒体播报中修补了两个高严重性的错误。 这些缺陷是一个超出范围的写入漏洞和堆栈缓冲区溢出错误,并且33个修复中的两个被推送到媒体播放器。 VideoLAN表示,大量的补丁源于欧盟委员会资助的新的虚假奖励计划 ,该计划的启动是为了保持欧盟机构依赖的开源项目的安全性。 该计划由HackerOne赏金计划协调员维护。
对补丁管理更感兴趣? 不要错过 7月24日星期三美国东部时间下午2点 的免费直播 威胁邮件网络研讨会 “ 精简补丁管理”。 请加入Threatpost编辑Tom Spring和一个补丁专家小组讨论补丁管理的最新趋势,如何为您的企业找到合适的解决方案以及在部署程序时面临的最大挑战。 注册并了解更多信息
