DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
CVE-2019-13615: Lỗ hổng thực thi mã trong trình chơi đa phương tiện VLC
Cơ quan an ninh mạng CERT-Bund của Đức chịu trách nhiệm tổ chức ứng phó khẩn cấp liên quan đến an ninh máy tính của Quốc gia này và gần đây họ đã phát hiện ra một lỗ hổng nghiêm trọng trong trình phát phương tiện VLC phổ biến. Như chúng ta đã biết, VLC là một trình phát đa phương tiện tương thích đa nền tảng với tổng số lượt tải xuống hơn 3 tỷ, điều này khiến lỗ hổng này càng nguy hiểm hơn.
CERT-Bund đã phân loại lỗ hổng (chính thức được ghi là CVE-2019-13615) là lỗ hổng "nghiêm trọng" (cấp 4), là mức đánh giá rủi ro cao thứ hai của cơ quan. Điểm CVSS v3.0 cho lỗ hổng này là 9,8 CRITICAL. Lỗ hổng này rất nguy hiểm, cho phép kẻ tấn công không chỉ thực thi mã từ xa mà còn dẫn đến tiết lộ thông tin trái phép, sửa đổi tệp trái phép và gián đoạn dịch vụ. Phiên bản VLC mới nhất, 3.0.7.1 cũng dễ bị tấn công.
CVE-2019-13615 là một lỗ hổng tràn bộ đệm trong một thành phần của trình phát VLC có thể cho phép kẻ tấn công thực thi từ xa mã tùy ý. Lỗ hổng bắt nguồn từ việc các hệ thống và sản phẩm mạng không xác thực đúng ranh giới dữ liệu khi thực hiện các thao tác trên bộ nhớ, khiến các hoạt động sai sót được thực hiện đến các vị trí khác trong liên kết.
VLC hiện đang tạo một bản sửa lỗi. CERT-Bund nói rằng không có trường hợp nào kẻ tấn công khai thác lỗ hổng này được biết đến, nhưng có thể nên tránh sử dụng VLC cho đến khi lỗ hổng được khắc phục.
CERT-Bund đã phân loại lỗ hổng (chính thức được ghi là CVE-2019-13615) là lỗ hổng "nghiêm trọng" (cấp 4), là mức đánh giá rủi ro cao thứ hai của cơ quan. Điểm CVSS v3.0 cho lỗ hổng này là 9,8 CRITICAL. Lỗ hổng này rất nguy hiểm, cho phép kẻ tấn công không chỉ thực thi mã từ xa mà còn dẫn đến tiết lộ thông tin trái phép, sửa đổi tệp trái phép và gián đoạn dịch vụ. Phiên bản VLC mới nhất, 3.0.7.1 cũng dễ bị tấn công.
CVE-2019-13615 là một lỗ hổng tràn bộ đệm trong một thành phần của trình phát VLC có thể cho phép kẻ tấn công thực thi từ xa mã tùy ý. Lỗ hổng bắt nguồn từ việc các hệ thống và sản phẩm mạng không xác thực đúng ranh giới dữ liệu khi thực hiện các thao tác trên bộ nhớ, khiến các hoạt động sai sót được thực hiện đến các vị trí khác trong liên kết.
VLC hiện đang tạo một bản sửa lỗi. CERT-Bund nói rằng không có trường hợp nào kẻ tấn công khai thác lỗ hổng này được biết đến, nhưng có thể nên tránh sử dụng VLC cho đến khi lỗ hổng được khắc phục.