Минус 13 жуков: VLC получил глобальное исправление

Опубликовано at 16:29
138 0

Один из популярнейших (и не последний из уязвимейших) медиаплееров, VLC, получил масштабное обновление от разработчиков VideoLan.

Сообщается, что в новой версии 3.0.8. разработчики устранили 13 уязвимостей и улучшили возможности воспроизведения видео.

Исправленные дыры были довольно опасны, бюллетень безопасности гласит, что эксплуатацию выявленных проблем может спровоцировать простое открытие специально созданного вредоносного файла или стрима. Таким образом можно было спровоцировать появление ошибок переполнения буфера, баги типа use-after-free, деление на ноль и так далее. Если хакер проэксплуатирует уязвимости, это может привести к выполнению произвольного кода с правами текущего пользователя.

«Хотя сами по себе эти проблемы, скорее всего, приведут лишь к сбою в работе плеера, мы не можем исключить возможность того, что они также могут быть объединены и спровоцируют утечку пользовательской информации или удаленное выполнение кода. ASLR и DEP помогают снизить эту вероятность, но их можно обойти», — пишут разработчики.

Десять из тринадцати уязвимостей были обнаружены специалистами Semmle Security Team. Инженеры VideoLan отмечают, что хотя уязвимости CVE-2019-13602 и CVE-2019-13962, которые обнаружили независимые ИБ-исследователи, были оценены в 8,8 и 9,8 баллов по десятибалльной шкале CVSS, по их мнению, серьезность этих проблем сильно завышена, и скорее их можно оценить в 4,3 балла (еще бы они говорили иначе).

Всем пользователям VLC рекомендуется обновить плеер. Вышеперечисленные уязвимости действительно опасны, в отличие от другой проблемы VLC, о которой мы сообщали ранее.

Подписываемся, следим @CyberAgency

Related Post

«Лаборатория Касперского»: россияне готовы к новогоднему всплеску мошенничества в сети

Опубликовано - 25.12.2018 0
B2B International по заказу «Лаборатории Касперского» провел опрос, который показал неожиданную осведомленность и грамотность по отношению к онлайн-шопингу у россиян.…