ช่องโหว่ของเครื่องเล่นสื่อ VLC

ในเครื่องเล่นสื่อ VLC ระบุ ช่องโหว่ (CVE-2019-13615) ซึ่งอาจนำไปสู่การเรียกใช้โค้ดของผู้โจมตีเมื่อเล่นวิดีโอ MKV ที่ออกแบบมาเป็นพิเศษ (ใช้ประโยชน์จากต้นแบบ). ปัญหามีสาเหตุจากการเข้าถึงหน่วยความจำนอกบัฟเฟอร์ที่จัดสรรในโค้ดการคลายแพ็กคอนเทนเนอร์สื่อ MKV และปรากฏในเวอร์ชันปัจจุบัน 3.0.7.1

การแก้ไขสำหรับตอนนี้ ไม่ว่างรวมถึงการอัพเดตแพ็คเกจ (debian, อูบุนตู, RHEL, Fedora, SUSE, FreeBSD). ช่องโหว่ ที่ได้รับมอบหมาย ระดับอันตรายวิกฤต (9.8 จาก 10 CVSS) ขณะเดียวกันผู้พัฒนา VLC เชื่อว่าปัญหานั้นจำกัดอยู่ที่หน่วยความจำรั่ว และไม่สามารถใช้เพื่อทำให้โค้ดทำงานหรือทำให้เกิดความผิดพลาดได้

ที่มา: opennet.ru