摘要:vlc media player中修复了多个漏洞日期:2020年6月受影响的版本:vlc media player 3.0.10和更早版本ID:VideoLAN-sb-vlc-3011CVE参考:cve-2020-13428。
远程用户可以创建巧尽心思构建的文件,该文件可能会在VLC的H26X打包器中触发缓冲区溢出。
如果成功,恶意第三方可能会触发VLC崩溃或使用目标用户的权限执行任意代码。
虽然这些问题本身最有可能导致播放器崩溃,但我们不能排除它们可能组合在一起泄露用户信息或远程执行代码。ASLR和DEP有助于降低代码执行的可能性,但可能会被绕过。
攻击这些问题需要用户显式打开巧尽心思构建的文件或流。
在应用补丁程序之前,用户应避免打开来自不受信任的第三方的文件或访问不受信任的远程站点(或禁用VLC浏览器插件)。
在CVE-20209308和CVE-2019-19221发布之后,VLC3.0.11还增加了一些依赖项,特别是libarchive