Dvě bezpečnostní chyby v populárním přehrávači videa VLC mohou ohrozit počítač, na kterém stačí přehrát upravené video. Bezpečnostní chyby (CVE-2019–5439 a CVE-2019–12874) jsou ve verzích starších než 3.0.7. Pro zneužití stačí uživateli podstrčit video ve formátu AVI či MKV, které po načtení způsobí přetečení zásobníku ve funkci ReadFrame
( demux/avi/avi.c
) či chybu ve funkci zlib_decompress_extra()
( demux/mkv/utils.cpp
). Poté může dojít k pádu prohlížeče či je možné nechat proběhnout libovolný kód.
Praktické zneužití je poměrně snadné, stačí po internetu šířit upravenou verzi populárních filmů, které si uživatelé stáhnou a pustí. Chyba je opravena ve verzi 3.0.7, proto neváhejte a aktualizujte. Součástí vydání je oprava dalších 28 menších chyb, které byly objeveny v rámci projektu hledajícího chyby.