VLC Media Player 3.0.71 是一個新的嚴重安全漏洞的受害者。這允許惡意人員遠端執行任意程式碼,這可能使他們能夠控制運行該版本程式的任何遠端 PC。 VLC 開發人員正在準備修復。同時,不建議使用VLC 3.0.7.1。
德國政府機構 CERT-Bund 的網路安全研究人員在 VLC 3.0.7.1 發現嚴重安全漏洞後發出警報。該 4/5 級缺陷被註冊為 CVE-2019-13615,被認為特別嚴重,特別是因為 VLC 是世界上下載次數最多的應用程式之一。只要安裝了該版本的 VLC,攻擊者就可以遠端執行任意程式碼、竊取資料和修改文件,此外還可以擾亂 Windows 10、macOS 或 Linux 下機器的正常運作。
6 月份,在 3.0.6 版本中發現了允許程式碼注入的類似缺陷,並在 3.0.7 版本中得到了修正。在檢測到此問題之前,版本 3.0.7.1 應該會帶來安全修復。 VLC 保證,在這兩種情況下,無論是在 6 月,還是現在 CVE-2019-13615,這些缺陷都不會被駭客主動利用。利用它涉及基於打開修改後的遠端 .mp4 視訊檔案的網路攻擊。根據 VLC 官方網站上的追蹤信息,補丁的開發已經在進行中,但僅完成了 60%。
如果您使用的是此版本,則您可能容易受到此類攻擊。如何保護自己?我們看到的有關此漏洞利用原理的文件表明,攻擊要成功必須滿足幾個條件。使用者必須連接到網際網路並在此版本的 VLC 中開啟遠端 .mp4 或 .mkv 檔案或呼叫遠端資源。因此,在補丁發布之前,最好對此類文件保持警惕,如有必要,請使用 KMPlayer 或 Kodi 等其他程式打開它們。
也可以使用 Little Snitch (macOS) 或防毒防火牆等程式阻止 VLC 的網路存取。
來源 :Winfuture.de
