Cert-Bund警告VLC播放器中的危急缺陷

vlc.播放器仍然受到基于关键的基于堆的内存缓冲区过度读取条件的影响,跟踪为 CVE-2019-13615,可以由远程攻击者利用以执行任意代码。

vlc. 播放器仍然受到跟踪的关键远程代码执行漏洞的影响 CVE-2019-13615.

缺陷的潜在影响很重要,因为软件有更多 安装311亿 跨各种操作系统和版本。

德国国家计算机应急响应团队(Cert-Bund)也发表了一个 安全咨询 警告VLC媒体播放器的缺陷。

“VLC Media Player是一个用于播放多媒体文件和网络流的程序。” reads the 安全咨询

“远程匿名攻击者可以利用VLC漏洞来执行任意代码,创建拒绝服务状态,披露信息或操作文件。”

该漏洞会影响Windows,Linux和UNIX版本3.0.7.1版本的VLC播放器的最新版本,以及可能的早期版本。德国国家计算机应急响应团队(CERT-BUND)将漏洞分为关键堆的内存缓冲区过度读取条件,并在其严重性等级上分配为5分中的4分。

NIST国家漏洞数据库(NVD)将漏洞评为“关键”严重性,并将其分配为10分中的CVSS分数为9.8。

证书外交和NVD都指出了它的开发并不是’不需要系统权限或任何用户互动,即使某些专家认为攻击者可以使用特制的MP4文件利用缺陷。

“随着读者在Heise安全论坛中正确注意到,BugTracker条目(可能是概念证明)取决于.mp4文件。” 报道 heuse.de网站。“这表明要利用漏洞,必须播放准备的视频文件。但是,这在证书BUND报告中明确提及或确认并在NVD条目中确认。 ( ovw.  ).”

根据这一点 Bugtracker. VLC后面的开发团队使用,Videolan已经在研究安全补丁来解决缺陷。

好消息是,在撰写本文时,我们不知道在疯狂利用漏洞中的攻击。

皮奈里格帕加尼尼

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请