CERT-Bund警告 VLC player存在的一个严重的漏洞

By admin

2019-07-24 14:21:38

浏览量46

已赞0

华盟君引言“VLC player仍然受到一个关键的基于堆的内存缓冲区过度读取的影响,跟踪为CVE-2019-13615,这可能被远程攻击者利用来执行任意代码。

VLC播放器仍然受到CVE-2019-13615跟踪的关键远程代码执行漏洞的影响。

这个缺陷的潜在影响很重要,因为该软件在不同的操作系统和版本上安装了超过31亿次。

CERT-Bund警告VLC player存在一个严重的漏洞

德国国家计算机应急响应小组(CERT-Bund)也发布了一份安全警告,警告VLC媒体播放器存在漏洞

VLC Media Player是一个播放多媒体文件和网络流的程序。安全顾问写道

“远程匿名攻击者可以利用VLC中的漏洞执行任意代码、创建拒绝服务状态、公开信息或操纵文件。”

这个漏洞会影响Windows、Linux和UNIX的VLC player最新版本3.0.7.1,以及可能的更早版本。德国国家计算机应急响应小组(CERT-Bund)将这一漏洞归类为一种基于临界堆的内存缓冲区过度读取的情况,并在其严重程度的5分中给予4分。

NIST国家漏洞数据库(NVD)将该漏洞评级为“危急”严重性,并在满分10分的情况下为其CVSS评分9.8分。

CERT-Bund和NVD都指出,它的利用不需要系统特权或任何用户交互,即使一些专家认为攻击者可以使用特别设计的mp4文件来利用这个漏洞。

正如读者在heise安全论坛中正确注意到的那样,bugtracker条目(可能是概念的证明)依赖于.mp4文件。Heuse.de网站报道。这意味着,要利用这个漏洞,必须播放一个事先准备好的视频文件。然而,无论是在CERT Bund报告中,还是在NVD条目中,都没有明确提到或确认这一点。()”。

根据VLC开发团队使用的bug跟踪器,VideoLAN已经在开发一个安全补丁来解决这个缺陷。

好消息是,在撰写本文时,我们还没有意识到在野外利用这种脆弱性进行的攻击。

今年6月,专家发现VLC media player存在两个漏洞,可以让远程攻击者在播放不可信视频时完全控制计算机系统。

发表评论
拖动滑块验证
»
请先 注册/登录 后参与评论

已有0 发布

默认   热门   正序   倒序
    查看更多评论
    已有0次打赏