VLC Media Player 3.0.11版本修复严重远程代码执行漏洞
VideoLan发布了VLC Media Player 3.0.11版本,该版本现在可以用于Windows、Mac和Linux。 除了故障修复和改进,该版本还修复了一个安全漏洞,远程攻击者可利用该漏洞在脆弱的计算机上执行命令或造成VLC崩溃。
该漏洞编号为CVE-2020-13428,是个存在于VLC H26X打包器中的缓冲区溢出漏洞。攻击者可利用该漏洞以与用户相同的安全级别执行命令。
根据VideoLan的安全公告,攻击者可通过创建特殊构造的文件并诱使用户使用VLC打开该文件利用该漏洞发动攻击。
虽然VideoLan指出该漏洞最有可能造成该播放器崩溃,但他们警告称,远程攻击者可利用该漏洞以用户的安全级别执行命令。
“如成功利用该漏洞,恶意第三方可触发VLC崩溃或以目标用户的权限执行任意代码。
虽然这些漏洞最有可能仅造成播放器崩溃,我们不能排除,攻击者可以结合利用漏洞造成用户信息泄露或远程执行代码。ASLR和DEP可以帮助减少代码执行的可能性,但可能被绕过。
我们尚未发现通过这些漏洞执行代码的exploit。”
由于该漏洞的严重程度和问题代码遭到公开披露,强烈建议所有用户下载并安装3.0.11版本。
本文源自Bleeping Computer;转载请注明出处。
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐