播个视频电脑就被黑了?没错,VLC 播放器做到了
作者:Swati Khandelwal
编译:奇安信代码卫士团队
最近用 VLC 媒体播放器了吗?更新没?可千万别用它播放不受信任的随机下载的视频文件哦!因为你播个视频,电脑系统就被黑客完全控制了。
VLC 媒体播放器软件 3.0.7 之前的版本中包含两个高危漏洞以及很多中低危漏洞,可导致黑客执行任意代码。
VLC 播放器的下载量已突破30亿次,是一款非常流行的开源媒体播放器软件,全球数亿用户在所有主流平台上都在使用它,包括 Windows、macOS、Linux 以及安卓和 iOS 移动平台。
Pen Test Partners 公司的研究员 Symeon Paraschoudis 发现了这个漏洞,编号为 CVE-2019-12874。它是首个存在于 VideoLAN VLC 播放器“zlib_decompress_extra”函数中的双重释放高危漏洞,当它在 Matroska 分离器中解析恶意 MKV 文件类型时就会触发该漏洞。
第二个高危漏洞CVE-2019-5439 是由另外一名研究人员发现的,它是一个读取缓冲区溢出漏洞,存在于“ReadFrame”函数中,可使用一个恶意 AVI 视频文件被触发。
尽管这两名研究人员发布的 PoC 演示可导致系统崩溃,但攻击者能够利用这些漏洞以系统上目标用户的权限执行任意代码。
攻击者需要做的不过是构造一个恶意的 MKV 或 AVI 视频文件并诱骗用户使用易受攻击的 VLC 播放器版本播放文件。这种事情对于攻击者而言并不难,他们能够在数小时内仅通过在流站点上伪装成新发布电影或电视剧盗版然后发布恶意视频文件的方式攻击数十万名用户。
虽然VedioLAN发布安全公告指出,在系统上启用 ASLR 和 DEP 保护措施能够帮助用户缓解该威胁,但开发人员证实称这些保护措施可遭绕过。
Paraschoudis使用 honggfuzz 模糊测试工具发现了这个漏洞以及其它四个bug。VideoLAN 团队已在本月初修复了这些漏洞和其它由安全研究员通过 EU-FOSSA 漏洞奖励计划28个 bug。
强烈建议用户将 VLC 媒体播放器更新至 VLC3.0.7 或后续版本,并应该避免打开或播放源自不可信第三方的视频文件。
技术详情请见:https://www.pentestpartners.com/security-blog/double-free-rce-in-vlc-a-honggfuzz-how-to/。
原文链接
https://thehackernews.com/2019/06/vlc-media-player-hacking.html
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。