VLC Media Player 3.0.71 是一个新的严重安全漏洞的受害者。这允许恶意人员远程执行任意代码,这可能使他们能够控制运行该版本程序的任何远程 PC。 VLC 开发人员正在准备修复。同时,不建议使用VLC 3.0.7.1。
德国政府机构 CERT-Bund 的网络安全研究人员在 VLC 3.0.7.1 中发现严重安全漏洞后发出警报。该 4/5 级缺陷被注册为 CVE-2019-13615,被认为特别严重,特别是因为 VLC 是世界上下载次数最多的应用程序之一。只要安装了该版本的 VLC,攻击者就可以远程执行任意代码、窃取数据和修改文件,此外还可以扰乱 Windows 10、macOS 或 Linux 下机器的正常运行。
6 月份,在 3.0.6 版本中发现了允许代码注入的类似缺陷,并在 3.0.7 版本中得到了纠正。在检测到此问题之前,版本 3.0.7.1 应该会带来安全修复。 VLC 保证,在这两种情况下,无论是在 6 月,还是现在 CVE-2019-13615,这些缺陷都不会被黑客主动利用。利用它涉及基于打开修改后的远程 .mp4 视频文件的网络攻击。根据 VLC 官方网站上的跟踪信息,补丁的开发已经在进行中,但仅完成了 60%。
如果您使用的是此版本,则您可能容易受到此类攻击。如何保护自己?我们看到的有关此漏洞利用原理的文档表明,攻击要成功必须满足几个条件。用户必须连接到互联网并在此版本的 VLC 中打开远程 .mp4 或 .mkv 文件或调用远程资源。因此,在补丁发布之前,最好对此类文件保持警惕,如有必要,请使用 KMPlayer 或 Kodi 等其他程序打开它们。
还可以使用 Little Snitch (macOS) 或防病毒防火墙等程序阻止 VLC 的网络访问。
来源 :Winfuture.de
