VLC 开源媒体播放器被曝 0day，无补丁

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

VLC 最新版媒体播放器中被曝存在一个严重的漏洞，目前无补丁。

非营利性组织VideoLAN旗下的 VLC 开源媒体播放器是用于播放和转换多种音频和可视文件的流行软件，适用于 Windows、Linux、Mac OS X、Unix、iOS 和安卓系统。目前该软件的安装量据称已达310亿次。

德国计算机应急响应团队 (CERT-Bund) 发布安全公告称，VLC 媒体播放器的最新版本 3.0.7.1 中包含一个 CVSS v3 评分高达9.8分的严重的内存损坏漏洞，CERT-Bund 的评分是4（总分为5）。它隶属于CWE-119 类：内存缓冲区边界内的操作限制不当，即“虽然软件在内存缓冲区上执行操作，但能够读取或写入位于缓冲区既定边界之外的内存位置。”

这个基于堆的缓冲区读取漏洞存在于 VLC 播放器modules/demux/mkv/demux.cpp 协议中的mkv::demux_sys_t::FreeUnused() 中，当从 modules/demux/mkv/mkv.cpp 中的 mkv::Open 中调用该 mkv::demux_sys_t::FreeUnused() 时，就会触发这个严重的漏洞。

ESET公司指出，“远程匿名攻击者能够利用 VLC 中的这个漏洞执行任意代码、引发拒绝服务条件、渗透信息或操纵文件。”

该漏洞(CVE-2019-13615) 存在于 Windows、Linux 和 Unix 设备上的最新 VLC 版本中，不过也有可能存在于老旧版本中。利用它无需提升权限或用户交互。德国技术网站 Heise Online 报道称，触发该漏洞要求一个特殊构造的 MP4 文件，但这一说法尚未获得 ESET公司、CERT-Bund的证实。

一名开发人员称，VLC 目前正在快速推出修复方案，从该组织的漏洞追踪器来看，该漏洞的补丁优先级为“高”，而且修复方案的进展已完成60%。

虽然目前尚不存在具体的补丁发布日期，但好在上没有漏洞遭在野利用的案例。

我们将持续关注事态进展。

原文链接

https://www.zdnet.com/article/remote-code-execution-vulnerability-in-vlc-remains-unpatched/

https://www.welivesecurity.com/2019/07/22/critical-vulnerability-vlc-no-patch/

https://cwe.mitre.org/data/definitions/119.html

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”。