欢迎来到永胜在线
国内最专业的科技资讯提供商

VideoLAN的VLC媒体播放器有严重缺陷

据NewsX报道,非营利组织VideoLAN最新版本的VLC媒体播放器软件存在德国CERT-Bund所说的严重安全漏洞,黑客可以在用户不知情的情况下安装和运行软件。

“这只是VLC中一个长期不断的缺陷。我绝对不建议任何人使用VLC访问不可信的内容,因为存在内存损坏漏洞的高风险。一般来说,VLC没有安全行业的良好声誉,因为他们经常会让脆弱的预先编译的可执行文件下载尽管修补他们的最新源代码," said 克雷格年轻,计算机安全研究人员Tripwire’脆弱性和暴露研究小组(绿色)只“;视频播放器是一个频繁的目标文件格式利用由于固有的复杂性.&rdquo解析多媒体文件;

如果被利用,攻击者可以获得远程访问权限,并可能公开信息、操纵文件或创建拒绝服务状态。根据NIST的国家漏洞数据库,媒体播放器中的漏洞CVE-2019-13615“具有基于堆的缓冲区过读”。

Synopsys首席顾问拉里•特罗威尔(Larry Trowell)表示,这并不是本月披露的唯一VLC问题。“最近公布了四个漏洞,它们与同一代码区域松散相关。虽然问题很严重,但是使用CVSS 3.0标准来评估漏洞的严重程度可能有点误导人,因为问题的级别往往高于版本2。使用CVSS 2.0量表,这个漏洞的等级为7.5,”特劳尔说。

因为用户必须主动与攻击机制交互,Trowell说攻击者无法发起攻击。“制作一个损坏的流很容易,但关键是让用户去玩它。而且,这种攻击不会给攻击者任何额外的特权。

他说:“没有很多人在电脑上以root/admin用户的身份随机播放视频。这种攻击只能通过用户交互来触发:用户要么下载恶意文件,要么打开一个正在流媒体的文件流,”特劳尔说。

因此,恶意参与者将依赖于用户搜索并打开已损坏的文件。Trowell指出,这可以通过网络钓鱼来实现,但“看起来在大多数情况下,发送的视频都是通过互联网浏览器或电子邮件客户端打开的,而不是VLC。”

“视频解析很难正确完成。有一个原因是发现了许多问题,也有一个原因是正确的补丁需要时间来实现和测试。我不知道这一发现是何时向VLC宣布的,也不知道在宣布之前是否有时间来解决这个问题,在批评该公司没有准备好解决方案时,应该考虑到这一点。”特劳尔补充道。

历史上的今天
七月
25
    哇哦~~~,历史上的今天没发表过文章哦
赞(0)
未经允许不得转载:永胜在线 » VideoLAN的VLC媒体播放器有严重缺陷
分享到: 更多 (0)
标签:

相关推荐

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  • Q Q(选填)

永胜在线科技网 更权威 更方便

永胜在线联系我们