Специалисты немецкого CERT-Bund обнаружили опасную уязвимость в популярном медиаплеере, которая допускает удаленное исполнение произвольного кода. Исправление уже находится в разработке, но пока готово не до конца.

Сообщается, что проблема представляет угрозу для новейшей версии VLC Media Player 3.0.7.1 (для Windows, Linux и UNIX) и получила идентификатор CVE-2019-13615.

Уязвимость относится к типу buffer overread, и корень бага лежит в функции mkv::demux_sys_t::FreeUnused() в modules/demux/mkv/demux.cpp, срабатывающей во время вызова от mkv::Open в modules/demux/mkv/mkv.cpp.

Эксплуатация уязвимости может привести не только к исполнению произвольного кода, но также несанкционированному раскрытию информации, изменению файлов и отказу в обслуживании.

Согласно баг-репорту, разработчики VideoLAN работают над созданием патча для этой проблемы почти месяц, однако пока исправление еще не готово. Судя по индикатору состояния, в настоящее время патч готов лишь на 60%.

На данный момент у разработчиков и исследователей нет информации о том, что эту уязвимость уже эксплуатируют злоумышленники. Но, к сожалению, теперь, после публикации данных о баге, ситуация может быстро измениться в худшую сторону.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии