У VLS Media Player знайшли критичний баг. Патча поки немає
Фахівці німецького CERT-Bund виявили небезпечну уразливість в популярному медіаплеєрі, яка допускає віддалене виконання довільного коду – дозволяє хакерам отримувати доступ до пристроїв користувачів. VLS Media Player був завантажений мільярди разів в усьому світі, тому ця критична уразливість програмного забезпечення, може бути небезпечною для мільйонів людей.
Проблема становить загрозу для найновішої версії VLC Media Player 3.0.7.1 (для Windows, Linux і UNIX) і отримала ідентифікатор CVE-2019-13615. Уразливість відноситься до типу buffer overread, і корінь бага лежить в функції mkv::demux_sys_t::FreeUnused() в modules/demux/mkv/demux.cpp, що спрацьовує під час виклику від mkv::Open в modules/demux/mkv/mkv.cpp.
Хоча хакери не використовували цю уразливість публічно, вона все ж несе загрозу для користувачів. Згідно CERT-Bund, цей недолік дозволяє виконувати віддалене виконання коду (RCE), несанкціоновані зміни й розкриття даних та файлів, а також загальне порушення обслуговування. Це означає, що користувачі можуть бачити, як їхні пристрої були зламані і застосовані для запуску шкідливого коду програмного забезпечення.
Згідно баг-репорту, розробники VideoLAN (некомерційна організація, яка володіє VLC Media Player) працюють над створенням патчу для цієї проблеми майже місяць, однак поки виправлення ще не готове. Судячи по індикатору стану, в даний час патч готовий лише на 60%.