Krytyczna dziura w VLC Media Player

Data: 23.07.2019 20:28

Autor: ziemianin

computing.co.uk

#codziennaprasowka #wiadomosci #vlc #technologia #odtwarzaczvideo #bezpieczenstwoit

Źródło: Wymagany angielski

Krytyczna dziura w VLC Media Player

Niemiecka agencja bezpieczeństwa cyfrowego CERT-Bund ostrzega o krytycznym błędzie w odtwarzaczu VLC Media Player. Luka pozwala napastnikowi na uzyskanie dostępu do komputera oraz modyfikowanie jego zawartości. Na razie nie zauważono, by prowadzone były ataki na tę dziurę, jednak z pewnością, po upublicznieniu informacji o jej istnieniu, w najbliższych dniach pojawi się szkodliwy kod ją wykorzystujący.

Dziura CVE-2019-13615 została oceniona na 9,8 w 10-stopniowej skali NIST, co oznacza, że jest to luka krytyczna. Dziura została znaleziona w wersjach dla Windows, Linuksa i Uniksa. Napastnik może ją wykorzystać m.in. do zdalnego wykonania dowolnego kodu.

Luka spowodowana błędami w obsłudze pamięci (nadczytanie bufora) została znaleziona w mkv::demux_sys_t::FreeUnused() w modules/demux/mkv/demux.cpp when called from mkv::Open in modules/demux/mkv/mkv.cpp. Występuje ona w najnowszej wersji oprogramowania, 3.0.7.1. Jego deweloperzy poinformowali, że nad łatą pracują już od miesiąca i jest ona gotowa w 60%.

W ubiegłym miesiącu opublikowano zaś największy zestaw poprawek dla VLC Media Playera. Znalazły się w nim łaty dla 33 dziur, z czego dla 2 krytycznych.

@borubar

24.07.2019 14:44

@ziemianin, tylko że to nieprawda, dziura była w zewnętrznej bibliotece a nie VLC (twórcy VLC nie mają na nią żadnego wpływu) i została ona załatana już 16 miesięcy temu.

Po prostu zgłaszający od ponad roku nie zaktualizował swoich bibliotek.

Deweloperzy VLC nie pracują nad łatką bo nie jest ona potrzebna.

https://teamquest.pl/blog/1302_luka-w-vlc-to-bzdura