Обнаружен критический недостаток в медиаплеере VLC

VLC Media Player для Windows

Немецкий наблюдатель за кибербезопасностью CERT-Bund обнаружил критический недостаток безопасности в VLC Media Player, и предупреждает, что успешная атака сделает возможным удаленное выполнение кода.
Уязвимость существует в файле VLC Media Player версии 3.0.7.1, в соответствии с официальным CVE-2019-13615, который является последней стабильной версией приложения.

«Медиаплеер VideoLAN VLC 3.0.7.1 имеет избыточное чтение буфера в mkv :: demux_sys_t :: FreeUnused () в modules / demux / mkv / demux.cpp при вызове из mkv :: Открыть в modules / demux / mkv /mkv.cpp », - отмечает CVE.
Согласно документу, успешное использование уязвимости допускает несанкционированное раскрытие информации, несанкционированное изменение файлов и прерывание обслуживания.

Патч уже в разработке для всех платформ

Согласно отчету об ошибках, доступному здесь, компания правообладатель VideoLAN начала разработку патча примерно четыре недели назад. Исправление уже завершено на 60 процентов, согласно индикатору рабочего состояния на официальной странице.

На момент написания этой статьи не было никаких подробностей относительно того, использовалась ли уязвимость в открытом доступе для каких-либо атак. Тем не менее, теперь, когда уязвимость системы безопасности стала общедоступной, существует вероятность того, что число атак может возрасти, особенно в отношении крупных жертв.

VLC Media Player - одно из лучших и в то же время одно из самых популярных приложений в своем роде, способное воспроизводить практически все форматы мультимедиа. Он доступен кроссплатформенно и предлагается абсолютно бесплатно, что делает его обязательным для значительного числа пользователей, независимо от операционной системы или устройства.

Согласно WinFuture, уязвимость существует в нескольких версиях VLC Media Player для настольных платформ, и это означает, что Windows, Linux и UNIX являются клиентами приложения. На данный момент похоже, что эта ошибка не затронула только macOS.