Опасная уязвимость обнаружена в медиаплеере VLC

Изъян существует в демультиплексорном компоненте обработчика МР4-файлов и вызван ошибкой в функции MP4_ReadBox_skcr. Эксплуатируя его, злоумышленник может вызвать переполнение буфера и запуск произвольного кода на целевом компьютере.


Уязвимость была выявлена в версии проигрывателя 1.1.8, однако ей могут быть подвержены и более ранние выпуски VLC Media Player. Специалисты компании Secunia присвоили изъяну высший уровень опасности, поскольку его можно проэксплуатировать удаленно - через ActiveX-элемент VLC либо через соответствующий плагин для обозревателя Firefox. Чтобы спровоцировать нежелательную реакцию, необходим особым образом сформированный MP4-файл.

Разработчики популярного плеера с открытым кодом, который распространяется по условиям лицензии GNU GPL, рекомендуют пользователям воздерживаться от просмотра подозрительных видеофайлов, полученных из сомнительных источников, либо попросту удалить весь декодер MP4 (libmp4_plugin.*) из папки медиапроигрывателя вплоть до тех пор, пока не будет выпущена новая версия программного продукта, содержащая необходимые исправления.

В принципе патчи для VLC Media Player уже имеются в наличии, но только в виде исходного кода. Соответственно, применить их пока что можно лишь к Linux-сборкам проигрывателя; что же касается версий для Windows и Mac OS, то их пользователям придется ждать выхода нового выпуска - 1.1.9. Возможно, что в нем будет откорректирована еще одна ошибка безопасности, недавно обнаруженная в библиотеке libmodplug; этот программный элемент входит в состав VLC, однако разрабатывается не участниками проекта VideoLAN, а третьесторонним поставщиком.

Softpedia

Письмо автору

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

BI.ZONE приглашает спикеров выступить с докладами на OFFZONE 2019

17–18 июня 2019 года в Москве дочерняя компания Сбербанка BI.ZONE проведет вторую международную конференцию по практической кибербезопасности OFFZONE 2019. Основная цель конференции — создать по-настоящему качественный технический контент, а также поделиться практическими исследованиями в области кибербезопасности.

Всех, кто хотел бы выступить с докладами, а также представить свои исследования на OFFZONE 2019, приглашают подать заявку на CFP до 23:59 28 апреля 2019 года. Выступления могут касаться широкого круга практических вопросов – от безопасности в финансовых сервисах и веб-приложениях до защиты оборудования от аппаратных атак.

Форматы докладов

  • Talk: 45 минут, презентация строго на английском, доклад — на русском или английском.
  • Fasttrack: 15 минут, презентация строго на английском, доклад — на русском или английском.
  • Toolzone: демонстрационный стенд на 4 часа, презентация не обязательна, выступление на русском или английском.

Все заявки рассмотрит CFP-комитет, в составе которого — эксперты по безопасности веб-приложений и корпоративных систем, исследователи вредоносного ПО, низкоуровневого программного и аппаратного обеспечения.

Подробнее о CFP

BI.ZONE рад приветствовать не только докладчиков, но и всех, кто хотел бы присоединиться к OFFZONE 2019. Продажа билетов уже запущена.

Тематика постапокалиптического мира, как и в прошлом году, будет задавать атмосферу конференции. Участники конференции окажутся в исследовательских лабораториях, где выжившие ученые на глазах будут возрождать технологии, а в культуру снова вернется ASCII-арт.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru