W odtwarzaczu VLC występują 2 podatności typu “heap buffer overflow” umożliwiające atakującemu wykonanie szkodliwego kodu.
Podatności:
- CVE-2019-12874 – luka występuje w funkcji zlib_decompress_extra, może zostać wykorzystana za pośrednictwem szkodliwego pliku MKV poprzez podanie nieprawidłowych danych do demuxera Matroska.
- CVE-2019-5439 – luka występuje w funkcji ReadFrame, może zostać wykorzystana poprzez odtworzenie wadliwego pliku AVI
Według VLC systemy, w których działa ASLR (Address space layout randomization) i DEP (Data Execution Prevention), będą odporne na wstępny atak, ale i te zabezpieczenia można obejść.
Zaleca się aktualizację VLC do wersji 3.0.7, która naprawia ww. podatności.
Więcej informacji: https://www.videolan.org/security/sa1901.html