DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
VideoLAN vá lỗ hổng thực thi mã trong trình giải trí đa phương tiện VLC
VideoLAN vừa phát hành một bản cập nhật phần mềm cho trình chơi nhạc phương tiện VLC để giải quyết một lỗ hổng có thể dẫn đến thực thi mã tùy ý. Như chúng ta đã biết, VLC là một trình phát đa phương tiện tương thích đa nền tảng với tổng số lượt tải xuống hơn 3 tỷ, điều này khiến lỗ hổng này càng nguy hiểm hơn.
Theo VideoLAN, các lỗi an ninh có thể bị khai thác bằng cách sử dụng tệp tự tạo để kích hoạt lỗi tràn bộ đệm. Khai thác thành công các lỗ hổng này có thể làm crash VLC hoặc thực thi mã tùy ý với các đặc quyền của người dùng.
“Mặc dù những vấn đề này rất có thể chỉ làm crash trình chơi, chúng ta không thể loại trừ khả năng chúng có thể được kết hợp để làm rò rỉ thông tin người dùng hoặc thực thi mã từ xa. ASLR và DEP giúp giảm khả năng thực thi mã, nhưng có thể bị vượt qua”, VideoLAN cho biết.
Lỗ hổng này được đánh số CVE-2020-13428. Tin tặc có thể khai thác lỗ hổng này bằng cách tạo tệp đặc biệt và lừa người dùng mở tệp độc hại này. Do đó, việc hạn chế mở tệp từ các nguồn không đáng tin cậy hoặc các trang web cho đến khi cập nhật bản vá sẽ giữ an toàn cho người dùng.
Chưa có bất kỳ cuộc khai thác lợi dụng các lỗ hổng này để thực thi mã được ghi nhận cho đến giờ.
Trình phát đa phương tiện VLC 3.0.11 trở về trước bị ảnh hưởng bởi hầu hết các lỗ hổng. VideoLAN đã phát hành phiên bản 3.0.11 để vá các lỗ hổng.
Theo VideoLAN, các lỗi an ninh có thể bị khai thác bằng cách sử dụng tệp tự tạo để kích hoạt lỗi tràn bộ đệm. Khai thác thành công các lỗ hổng này có thể làm crash VLC hoặc thực thi mã tùy ý với các đặc quyền của người dùng.
“Mặc dù những vấn đề này rất có thể chỉ làm crash trình chơi, chúng ta không thể loại trừ khả năng chúng có thể được kết hợp để làm rò rỉ thông tin người dùng hoặc thực thi mã từ xa. ASLR và DEP giúp giảm khả năng thực thi mã, nhưng có thể bị vượt qua”, VideoLAN cho biết.
Lỗ hổng này được đánh số CVE-2020-13428. Tin tặc có thể khai thác lỗ hổng này bằng cách tạo tệp đặc biệt và lừa người dùng mở tệp độc hại này. Do đó, việc hạn chế mở tệp từ các nguồn không đáng tin cậy hoặc các trang web cho đến khi cập nhật bản vá sẽ giữ an toàn cho người dùng.
Chưa có bất kỳ cuộc khai thác lợi dụng các lỗ hổng này để thực thi mã được ghi nhận cho đến giờ.
Trình phát đa phương tiện VLC 3.0.11 trở về trước bị ảnh hưởng bởi hầu hết các lỗ hổng. VideoLAN đã phát hành phiên bản 3.0.11 để vá các lỗ hổng.
Theo: bleepingcomputer