Специалисты команды из CERT-Bund обнаружили уязвимость в свободном кроссплатформенном медиапроигрывателе VLC Media Player. Уязвимость позволяет удаленное выполнение кода.
Проблема была обнаружена в VLC Media Player 3.0.7.1, которая является последней стабильной версией приложения. Обнаруженная проблема представляет собой уязвимость переполнения буфера (CVE-2019-13615), позволяющую получить доступ к информации, изменить файлы и нарушить работу сервиса. Уязвимость затрагивает функцию mkv::demux_sys_t::FreeUnused() в modules/demux/mkv/demux.cpp и проявляется при вызове mkv::Open в modules/demux/mkv/mkv.cpp.
Согласно исследователям, уязвимости подвержены некоторые версии VLC Media Player для настольных компьютеров на базе Windows, Linux и UNIX. Разработчик VLC Media Player компания VideoLAN начала работу над исправлением уязвимости примерно четыре недели назад. Патч уже завершен на 60%. Пока нет никакой информации об использовании уязвимости злоумышленниками.