根据 ZDNet 报道，在最新版本的 VLC 媒体播放器中发现了一个严重的漏洞，可能支持远程代码执行和其他恶意操作，而且目前没有修补程序。

非营利视频局域网的 VLC 播放器是一款流行的软件，用于播放和转换各种音频和视频文件。该软件可适用 Windows、Linux、MacOSX、Unix、IOS 和 Android 系统，事件被报道后，这款开源媒体播放器现在已经成为德国计算机应急小组（CERT-Bund）最近发布的安全咨询的焦点。

CERT-Bund 称，在 CVSS 3.0 级别上，这个漏洞的打分为 9.8/10，严重程度可想而知。它已被命名为为 CVE-2019-13615，此安全漏洞不需要权限升级或用户交互即可利用。

具体来说，当从 mkv：open in Module/demux/mkv/mkv.cpp 调用模块 /demux/mkv/demux.cpp 协议时，VLC 的 mkv：demux_sys_t：FreeUnuse() 中发现基于堆的缓冲区超读错误。ESET 表示：

远程匿名攻击者可以利用 vlc 中的漏洞执行任意代码、造成拒绝服务条件、提取信息或操作文件

虽然已经知道该漏洞是存在 Windows、Linux 和 Unix 机器上的最新版本的 VLC 中，但并不排除会影响过去版本的可能性。

德国出版物 Heise Online 报告说，只要使用一个特别的 .mp4 文件就有可能触发该漏洞，但研究人员和 CERT-Bund 尚未证实这一点。

VLC 正在快速修复，据两天前发布更新的一名开发人员称，该漏洞已被授予修补程序的最高优先级，修补程序已完成 60% 。

虽然没有发布补丁的具体日期，不过幸运的是，目前还没有发现有人利用这一漏洞。

参考：threatpost