해커가 VLC 미디어 플레이어의 치명적인 취약점을 이용해 PC를 해킹할 수 있습니다

비디오LAN, 취약한 VLC 미디어 플레이어를 위한 보안 업데이트 발표

VLC 미디어 플레이어는 공격자가 취약한 시스템에서 특별히 제작된 비디오 파일을 로드하여 임의의 코드를 실행할 수 있는 두 가지 고위험 보안 결함이 발견되었습니다. 이 결함은 소프트웨어 버전 3.0.6 및 이전 버전에서 발생합니다.

잘 모르는 분들을 위해, VLC 미디어 플레이어는 30억 회 이상의 다운로드 수를 기록한 최고의 인기 미디어 플레이어 중 하나입니다.

VLC는 무료, 오픈 소스, 휴대 가능하며, Windows, macOS, Linux는 물론 Android 및 iOS 모바일 플랫폼에서도 사용할 수 있는 크로스 플랫폼입니다. 어떤 형식이든 VLC 미디어 플레이어는 원하는 거의 모든 종류의 오디오 및 비디오 형식을 재생할 수 있습니다.

또한 읽어보세요 - VLC를 사용하여 YouTube 비디오 다운로드하는 방법

Pen Test Partners의 연구원인 Symeon Paraschoudis는 첫 번째 고위험 취약점을 CVE-2019-12874로 식별했으며, 이는 MKV 이중 해제 결함으로 VideoLAN VLC 플레이어의 “zlib_decompress_extra() (demux/mkv/utils.cpp)” 함수에 존재합니다.

이는 Matroska 디멀럭서 내에서 잘못된 형식의 mkv 파일을 구문 분석할 때 트리거될 수 있습니다.

두 번째 고위험 결함은 CVE-2019-5439로 식별되었으며, Hackerone의 zhangyang에 의해 발견된 버퍼 오버플로 취약점으로 ReadFrame (demux/avi/avi.c)에 존재합니다.

이는 원격 사용자가 특별히 제작된 avi 또는 mkv 파일을 생성할 수 있게 하며, 대상 사용자가 이를 로드할 경우, 타겟 시스템에서 힙 버퍼 오버플로를 유발합니다.

또한 읽어보세요 - Windows 10을 위한 최고의 무료 미디어 플레이어

악의적인 제3자가 잘못된 파일을 타겟 시스템에서 성공적으로 실행하면 VLC가 충돌하거나 타겟 사용자의 권한으로 임의의 코드 실행이 발생할 수 있습니다.

잠재적인 공격자는 사용자가 특별히 제작된 악성 MKV 또는 AVI 비디오 파일을 명시적으로 열도록 속여 이 취약점을 악용할 수 있습니다.

또한 읽어보세요 - VLC 미디어 플레이어에서 자막 다운로드하는 방법

VLC를 개발한 비영리 단체 VideoLAN은 보안 권고를 발표했습니다. “사용자는 패치가 적용될 때까지 신뢰할 수 없는 제3자 또는 신뢰할 수 없는 원격 사이트에서 파일을 열거나 접근하는 것을 자제해야 합니다(또는 VLC 브라우저 플러그인을 비활성화해야 합니다).”

VLC 사용자들은 해커가 시스템에서 이 취약점을 악용하지 못하도록 VLC 3.0.7 또는 이후 버전으로 미디어 플레이어 소프트웨어를 업그레이드할 것을 강력히 권장받고 있습니다.