VLC 媒体播放器发现漏洞,目前仍未修补
根据 ZDNet 报道,在最新版本的 VLC 媒体播放器中发现了一个严重的漏洞,可能支持远程代码执行和其他恶意操作,而且目前没有修补程序。
非营利视频局域网的 VLC 播放器是一款流行的软件,用于播放和转换各种音频和视频文件。该软件可适用 Windows、Linux、MacOSX、Unix、IOS 和 Android 系统,事件被报道后,这款开源媒体播放器现在已经成为德国计算机应急小组(CERT-Bund)最近发布的安全咨询的焦点。
CERT-Bund 称,在 CVSS 3.0 级别上,这个漏洞的打分为 9.8/10,严重程度可想而知。它已被命名为为 CVE-2019-13615,此安全漏洞不需要权限升级或用户交互即可利用。
具体来说,当从 mkv:open in Module/demux/mkv/mkv.cpp 调用模块 /demux/mkv/demux.cpp 协议时,VLC 的 mkv:demux_sys_t:FreeUnuse() 中发现基于堆的缓冲区超读错误。ESET 表示:
远程匿名攻击者可以利用 vlc 中的漏洞执行任意代码、造成拒绝服务条件、提取信息或操作文件
虽然已经知道该漏洞是存在 Windows、Linux 和 Unix 机器上的最新版本的 VLC 中,但并不排除会影响过去版本的可能性。
德国出版物 Heise Online 报告说,只要使用一个特别的 .mp4 文件就有可能触发该漏洞,但研究人员和 CERT-Bund 尚未证实这一点。
VLC 正在快速修复,据两天前发布更新的一名开发人员称,该漏洞已被授予修补程序的最高优先级,修补程序已完成 60% 。
虽然没有发布补丁的具体日期,不过幸运的是,目前还没有发现有人利用这一漏洞。
参考:threatpost
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
OSChina 周三乱弹 —— 公司俩美女离职了
Osc乱弹歌单(2019)请戳(这里) 【今日歌曲】 @无形的肖申克 :分享広橋真紀子的单曲《時には昔の話を》: 《時には昔の話を》- 広橋真紀子 手机党少年们想听歌,请使劲儿戳(这里) @小橙子的曼曼 :果断放弃编码,走向产品 发现我还是不太合适产品, 为什么啊? 是不是我不太适合工作呀? 总有一束光照亮你回家的路。 我需要有一束光照亮我装逼的路, @Tumblr :有人说你怎么还在混动弹呢,都9102年了。每次发帖大家都叫我楼主,这种感受你是不会明白的,好像真有楼一样。 局长(@局长 )也这么想的, @局长 :有人说你怎么还在混动弹呢,都9102年了。每次发动弹大家都叫我局长,这种感受你是不会明白的,好像真是局长一样。 局长(@局长 )被一道光击中以后, “年轻的奥特曼并不知道他面对的对手又多么强大。” 作为年轻的员工一定要有狼性, @打飞机的猪猪侠 :公司告诉我们所有员工要有狼性,把狼作为图腾,这不,昨天摸了一下女同事屁股被扇了耳光,还被记了过,我当时就不服了,去问领导你不是说的让我们要有狼性吗?我觉得我太冤枉了,我充分发挥了我的狼性啊,这有什么不对。 你确定是狼性么? 临走你也...
- 下一篇
VS Code 的 Java 七月更新,新的重构特性
微软官方发博表示,Java on Visual Studio Code 已经更新,在这个更新中,提到几个新的重构特性、语义选择以及提供的一些其他改进。 重构 在extract to variable/constant/method (提取到变量/常数/方法)之后触发器的重命名 在extract to variable/constant/method重构之后,通常情况下,希望使用有意义的名称分配结果。使用此功能,将不再需要执行单独的重命名操作,所有操作都是在单个重构步骤中以流线型方式处理。 将局部变量转换为字段 Extract to field(提取到字段)也是一个流行的重构。现在,在选择表达式时,可以使用 extract to field。 当选择变量声明时,它将将变量转换为字段(convert the variable to field ) 支持语义选择 Smart Selection(也就是语义选择)是 VS Code 添加的新特性,它可以理解 Java 代码。这样,就可以扩展或缩小与代码中插入位置的语义信息相对应的选择范围。 若要扩展选择,在 Windows 上则使用 Shift...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Mario游戏-低调大师作品
- Docker安装Oracle12C,快速搭建Oracle学习环境
- Red5直播服务器,属于Java语言的直播服务器
- CentOS7,CentOS8安装Elasticsearch6.8.6
- CentOS8编译安装MySQL8.0.19
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS6,CentOS7官方镜像安装Oracle11G
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2更换Tomcat为Jetty,小型站点的福音