信息來源：hackernews

根據(jù) ZDNet 報道，在最新版本的 VLC 媒體播放器中發(fā)現(xiàn)了一個嚴(yán)重的漏洞，可能支持遠(yuǎn)程代碼執(zhí)行和其他惡意操作，而且目前沒有修補程序。

非營利視頻局域網(wǎng)的 VLC 播放器是一款流行的軟件，用于播放和轉(zhuǎn)換各種音頻和視頻文件。該軟件可適用 Windows、Linux、MacOSX、Unix、IOS 和 Android 系統(tǒng)，事件被報道后，這款開源媒體播放器現(xiàn)在已經(jīng)成為德國計算機應(yīng)急小組（CERT-Bund）最近發(fā)布的安全咨詢的焦點。

CERT-Bund 稱，在 CVSS 3.0 級別上，這個漏洞的打分為 9.8/10，嚴(yán)重程度可想而知。它已被命名為為 CVE-2019-13615，此安全漏洞不需要權(quán)限升級或用戶交互即可利用。

具體來說，當(dāng)從 mkv：open in Module/demux/mkv/mkv.cpp 調(diào)用模塊 /demux/mkv/demux.cpp 協(xié)議時，VLC 的 mkv：demux_sys_t：FreeUnuse() 中發(fā)現(xiàn)基于堆的緩沖區(qū)超讀錯誤。ESET 表示：

遠(yuǎn)程匿名攻擊者可以利用 vlc 中的漏洞執(zhí)行任意代碼、造成拒絕服務(wù)條件、提取信息或操作文件

雖然已經(jīng)知道該漏洞是存在 Windows、Linux 和 Unix 機器上的最新版本的 VLC 中，但并不排除會影響過去版本的可能性。

德國出版物 Heise Online 報告說，只要使用一個特別的 .mp4 文件就有可能觸發(fā)該漏洞，但研究人員和 CERT-Bund 尚未證實這一點。

VLC 正在快速修復(fù)，據(jù)兩天前發(fā)布更新的一名開發(fā)人員稱，該漏洞已被授予修補程序的最高優(yōu)先級，修補程序已完成 60% 。

雖然沒有發(fā)布補丁的具體日期，不過幸運的是，目前還沒有發(fā)現(xiàn)有人利用這一漏洞。