More

    VideoLAN vá nhiều lỗ hổng trong trình giải trí đa phương tiện VLC

    VideoLAN vừa phát hành một bản cập nhật phần mềm cho trình chơi nhạc phương tiện VLC để giải quyết hơn chục lỗ hổng, trong đó lỗ hổng quan trọng nhất có thể dẫn đến thực thi mã tùy ý.

    Theo VideoLAN, các lỗi an ninh có thể bị khai thác bằng cách sử dụng tệp tự tạo để kích hoạt các lỗi tràn bộ đệm, use after free, divide by zero và các vấn đề khác. Khai thác thành công các lỗ hổng này có thể làm crash VLC hoặc thực thi mã tùy ý với các đặc quyền của người dùng mục tiêu.

    “Trong khi những vấn đề này rất có thể chỉ làm crash trình chơi, chúng tôi không thể loại trừ rằng chúng có thể được kết hợp để làm rò rỉ thông tin người dùng hoặc thực thi mã từ xa. ASLR và DEP giúp giảm khả năng thực thi mã, nhưng có thể bị vượt qua”, VideoLAN giải thích.

    Chưa có bất kỳ cuộc khai thác lợi dụng các lỗ hổng này để thực thi mã đã được ghi nhận cho đến giờ.

    Để cuộc tấn công nào nhắm vào các lỗi này thành công, người dùng phải mở một tệp hoặc luồng không đúng định dạng được tạo thủ công. Do đó, việc hạn chế mở tệp từ các nguồn không đáng tin cậy hoặc các trang web cho đến khi cập nhật bản vá sẽ giữ an toàn cho người dùng.

    Trong các lỗ hổng được giải quyết trong bản phát hành này, lỗi ghi ngoài giới hạn CVE-2019-14438 có rủi ro cao vì số lượng lớn byte có thể bị ghi đè. Hơn nữa, nó cũng có thể được chuyển thành lỗi đọc ngoài giới hạn (CVE-2019-14437).

    Lỗi use after free CVE-2019-14533 ảnh hưởng đến các tệp WMV và WMA (bộ chứa ASF) cũng rất quan trọng vì nó có thể được kích hoạt khi video được chuyển tiếp và cho phép kẻ tấn công thay đổi luồng ứng dụng dự kiến.

    Trình phát đa phương tiện VLC 3.0.7.1 trở về trước bị ảnh hưởng bởi hầu hết các lỗ hổng. VideoLAN đã phát hành phiên bản 3.0.8 để vá các lỗ hổng.

    Theo Security Week​

    Bài Viết Mới

    Làm sao đặt hình ảnh làm nền Powerpoint?

    Điều thú vị là mọi người có thể sử dụng bất kỳ hình ảnh nào họ muốn để đặt làm nền PowerPoint...

    Ai hưởng lợi nếu Huawei sụp đổ?

    Bất ngờ vượt qua Samsung để trở thành nhà sản xuất smartphone lớn nhất thế giới trong quý II, tuy nhiên tập...

    Smartphone bí ẩn mà LG sắp ra mắt: Đưa công nghệ của Iron Man bước ra đời thực

    Sản phẩm mang nhiều tham vọng của LG được mô tả là “mang đến những trải nghiệm mà chưa có bất kỳ...

    NaviBank tuyển dụng IT

    Mô tả công việc Xử lý các sự cố, tiếp nhận và giải đáp các yêu cầu, thắc...

    Zalo PC giúp giáo viên dạy học hiệu quả trong mùa dịch Covid-19

    Tận dụng các tính năng của Zalo PC để hỗ trợ việc dạy và học, nhà trường có thể hạn chế sự...

    Related Stories

    Stay on op - Ge the daily news in your inbox