реклама
VLC является мощным бесплатным кросс-платформенным проигрывателем мультимедийных файлов, способным проигрывать большинство медиаформатов без помощи сторонних декодеров. Исходный код программы открыт и распространяется по лицензии GPL.
Компания Secunia, занимающаяся исследованием уязвимостей, оценила упомянутые уязвимости, обнаруженные исследователем по безопасности Хоссейном Лофти, как в высшей степени критические.
реклама
Уязвимости, которые могут быть использованы для исполнения произвольного кода на компьютере жертвы, были обнаружены в двух компонентах популярного медиапроигрывателя VLC. Одна из уязвимостей, обозначенная как CVE-2011-2587, находится в демуксере RealMedia и может быть использована для переполнения кучи в случае открытия специально созданного видеофайла RealMedia (RM). Вторая уязвимость CVE-2011-2588 располагается в демуксере AVI и может быть задействована при парсинге куска "strf" в файлах AVI.
Обе уязвимости присутствуют в последней версии медиапроигрывателя и будут устранены в версии 1.1.11. На данный момент исправления исходного кода уже доступны во многих репозиториях различных дистрибутивов Linux, а также других систем, основанных на UNIX. Пользователям Windows предлагается переименовать или удалить файлы libreal_plugin.dll и libavi_plugin.dll, что приведёт не только к устранению уязвимостей, но и к потере возможности проигрывать файлы AVI и RealMedia. Файлы RealMedia сейчас уже являются не такими распространёнными, и большая часть пользователей вполне могут пожертвовать поддержкой этого формата до выхода новой версии приложения. Файлы AVI, напротив, очень популярны и отказ от их поддержки может многих расстроить.
Пользователям VLC не следует скачивать и проигрывать видеофайлы AVI и RM из подозрительных источников. Для предотвращения удалённых атак также следует временно отключить плагин VLC в браузерах.
Сейчас обсуждают