Хакеры могут взломать ваш ПК, используя критическую уязвимость в медиаплеере VLC

VideoLAN выпустила обновление безопасности для уязвимого медиаплеера VLC

В медиаплеере VLC были обнаружены две уязвимости с высоким уровнем риска в версиях программного обеспечения 3.0.6 и более ранних, которые могут позволить злоумышленникам загружать специально подготовленные видеофайлы в уязвимую систему для выполнения произвольного кода.

Для тех, кто не в курсе, медиаплеер VLC является одним из лучших и самых популярных медиаплееров с более чем 3 миллиардами загрузок.

Это бесплатный, открытый и портативный кроссплатформенный медиаплеер, который можно использовать на Windows, macOS, Linux, а также на мобильных платформах Android и iOS. Какой бы ни был формат, медиаплеер VLC может воспроизводить почти любые аудио и видеоформаты, которые вы хотите.

Также читайте - Как скачать видео с YouTube с помощью VLC

Симеон Парасхудис, исследователь из Pen Test Partners, который выявил первую уязвимость высокой степени серьезности как CVE-2019-12874, это ошибка двойного освобождения памяти MKV и находится в функции ” zlib_decompress_extra() (demux/mkv/utils.cpp) ” медиаплеера VideoLAN VLC.

Она может быть вызвана при разборе неправильно сформированного файла типа mkv в демультиплексоре Matroska.

Вторая уязвимость с высоким уровнем риска, идентифицированная как CVE-2019-5439 и обнаруженная zhangyang из Hackerone, это уязвимость переполнения буфера, которая находится в ReadFrame (demux/avi/avi.c).

Она позволяет удаленному пользователю создавать специально подготовленные файлы avi или mkv, которые, когда загружаются целевым пользователем, вызовут переполнение буфера кучи в целевой системе.

Также читайте - Лучшие бесплатные медиаплееры для Windows 10

Успешное выполнение неправильно сформированного файла в целевой системе со стороны злонамеренной третьей стороны может привести либо к сбою VLC, либо к выполнению произвольного кода с привилегиями целевого пользователя.

Потенциальный злоумышленник может использовать эти уязвимости, обманув пользователя, чтобы он явно открыл специально подготовленный вредоносный видеофайл MKV или AVI.

Также читайте - Как скачать субтитры в медиаплеере VLC

VideoLAN, некоммерческая организация, разработавшая VLC, опубликовала уведомление о безопасности: “Пользователю следует воздержаться от открытия файлов от ненадежных третьих лиц или доступа к ненадежным удаленным сайтам (или отключить плагины браузера VLC), пока патч не будет применен.”

Пользователям VLC настоятельно рекомендуется обновить свое программное обеспечение медиаплеера до версии VLC 3.0.7 или более поздних версий, чтобы избежать эксплуатации этой уязвимости на их системах.