Lỗ hổng bảo mật trên trình phát VLC
Đó là bởi vì các phiên bản phần mềm VLC media player trước 3.0.7 chứa hai lỗ hổng bảo mật có mức độ rủi ro cao (high-risk), cùng nhiều lỗ hổng bảo mật mức độ nghiêm trọng trung bình và thấp khác, có thể dẫn đến các cuộc tấn công thực thi mã tùy ý trên thiết bị người dùng.
Với hơn 3 tỷ lượt tải xuống, VLC là phần mềm trình phát đa phương tiện mã nguồn mở cực kỳ phổ biến hiện đang được hàng trăm triệu người dùng trên toàn thế giới sử dụng trên tất cả các nền tảng chính, bao gồm Windows, macOS, Linux, cũng như các nền tảng di động Android và iOS.
Symeon Paraschoudis từ Pen Test Partners đã phát hiện ra lỗ hổng bảo mật mức độ nghiêm trọng cao đầu tiên trên VLC, mang số hiệu CVE-2019-12874. Lỗ hổng là một vấn đề double-free, nằm trong chức năng “zlib_decompress_extra” của trình phát VideoLAN VLC player và được kích hoạt khi trình phát phân tích loại tệp MKV không đúng định dạng trong trình giải mã Matroska.
Lỗ hổng có nguy cơ cao thứ hai mang số hiệu CVE-2019-5439 được phát hiện bởi một nhà nghiên cứu khác. Lỗ hổng này là một vấn đề tràn bộ đệm đọc (read-bufer overflow) nằm trong chức năng “ReadFrame” và có thể được kích hoạt bằng cách sử dụng tập tin AVI bị thay đổi định dạng.
Tất cả những gì kẻ tấn công cần làm là tạo một tệp video MKV hoặc AVI độc hại và lừa người dùng mở nó bằng các phiên bản VLC chứa lỗ hổng.
Link 2 lỗ hổng:
https://www.videolan.org/security/sa1901.html Mọi người nhanh tay cập nhật phần mềm media player của họ lên phiên bản VLC 3.0.7 trở lên càng sớm càng tốt. Đồng thời, cũng nên tuyệt đối tránh việc mở hoặc phát các tệp video từ các bên thứ ba không đáng tin cậy.
Nguồn: j2team