ハッカーはVLCメディアプレーヤーの重大な脆弱性を悪用してPCをハッキングできます

VideoLANが脆弱なVLCメディアプレーヤーのセキュリティアップデートをリリース

VLCメディアプレーヤーには、攻撃者が脆弱なシステムに特別に作成されたビデオファイルを読み込むことを可能にする、ソフトウェアバージョン3.0.6およびそれ以前の2つの高リスクのセキュリティ欠陥が発見されました。

知らない方のために、VLCメディアプレーヤーは、30億回以上のダウンロードを誇る最高かつ最も人気のあるメディアプレーヤーの1つです。

これは、Windows、macOS、Linux、さらにはAndroidおよびiOSモバイルプラットフォームで使用できる無料のオープンソースでポータブルなクロスプラットフォームです。フォーマットに関係なく、VLCメディアプレーヤーはほぼすべての種類のオーディオおよびビデオフォーマットを再生できます。

また読む - VLCを使用してYouTubeビデオをダウンロードする方法

Pen Test Partnersの研究者Symeon Paraschoudisは、最初の高重大度の脆弱性をCVE-2019-12874として特定しました。これはMKVダブルフリーの欠陥で、VideoLAN VLCプレーヤーの「zlib_decompress_extra() (demux/mkv/utils.cpp)」関数に存在します。

これは、Matroskaデマクサで不正なmkvファイルタイプを解析する際にトリガーされる可能性があります。

2つ目の高リスクの欠陥はCVE-2019-5439として特定され、Hackeroneのzhangyangによって発見されたバッファオーバーフローの脆弱性で、ReadFrame (demux/avi/avi.c) に存在します。

これにより、リモートユーザーは特別に作成されたaviまたはmkvファイルを作成でき、ターゲットユーザーがそれを読み込むと、ターゲットシステムにヒープバッファオーバーフローが発生します。

また読む - Windows 10用の最高の無料メディアプレーヤー

悪意のある第三者によってターゲットシステムで不正なファイルが成功裏に実行されると、VLCがクラッシュするか、ターゲットユーザーの権限で任意のコードが実行される可能性があります。

潜在的な攻撃者は、ユーザーを騙して特別に作成された悪意のあるMKVまたはAVIビデオファイルを明示的に開かせることで、これらの脆弱性を悪用できます。

また読む - VLCメディアプレーヤーで字幕をダウンロードする方法

VLCを開発した非営利団体VideoLANは、セキュリティアドバイザリーを公開しました。「ユーザーは、パッチが適用されるまで、信頼できない第三者からのファイルを開いたり、信頼できないリモートサイトにアクセスしたりしないこと（またはVLCブラウザプラグインを無効にすること）を控えるべきです。」

VLCユーザーは、ハッカーがシステムのこの脆弱性を悪用するのを避けるために、メディアプレーヤーソフトウェアをVLC 3.0.7以降のバージョンにアップグレードすることを強く推奨されています。