Hlavní navigace

Bezpečnostní chyby ve VLC umožňují zaútočit na počítač pomocí videa

Sdílet

Petr Krčmář
VLC

Dvě bezpečnostní chyby v populárním přehrávači videa VLC mohou ohrozit počítač, na kterém stačí přehrát upravené video. Bezpečnostní chyby (CVE-2019–5439 a CVE-2019–12874) jsou ve verzích starších než 3.0.7. Pro zneužití stačí uživateli podstrčit video ve formátu AVI či MKV, které po načtení způsobí přetečení zásobníku ve funkci ReadFrame ( demux/avi/avi.c) či chybu ve funkci zlib_decompress_extra() ( demux/mkv/utils.cpp). Poté může dojít k pádu prohlížeče či je možné nechat proběhnout libovolný kód.

Praktické zneužití je poměrně snadné, stačí po internetu šířit upravenou verzi populárních filmů, které si uživatelé stáhnou a pustí. Chyba je opravena ve verzi 3.0.7, proto neváhejte a aktualizujte. Součástí vydání je oprava dalších 28 menších chyb, které byly objeveny v rámci projektu hledajícího chyby.

Našli jste v článku chybu?