设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
安而遇随-随遇而安 首页 资讯 查看内容

VLC 2.1.5使用的编解码库中被爆出现两个0day漏洞

2015-1-21 10:48| 发布者: 随便、先森。| 查看: 1080| 评论: 0|来自: 360安全播报

摘要: 概述:土耳其安全研究员Veysel Hatas在VLC媒体播放器2.1.5版本(最新版本)使用的开源编解码库中发现两个内存泄露漏洞。如果这两个漏洞被成功利用,攻击者能够在运行漏洞视频播放器的机器上执行任意代码。这可通过内 ...

概述:土耳其安全研究员Veysel Hatas在VLC媒体播放器2.1.5版本(最新版本)使用的开源编解码库中发现两个内存泄露漏洞。如果这两个漏洞被成功利用,攻击者能够在运行漏洞视频播放器的机器上执行任意代码。这可通过内存泄露来实现,而内存泄露是由具有某种特点的文件触发的。

已创建演示文件

其中的一个漏洞是数据执行保护访问冲突CVE-2014-9597,可通过一个恶意编制的FLV文件对用户发动攻击。另外一个是CVE-2014-9598,它是一个写访问冲突漏洞,可以同样的方式触发,但它使用的是MV2文件类型。在这两种情况下,用户都必须将恶意文件加载到VLC中。

为了演示用,Hatas创建了两个可以触发漏洞的文件,并且在VideoLan的问题跟踪系统中粘贴了标签。目前,标签处于关闭状态,因为libavcodec库而不是媒体播放器处于故障状态。

VLC 2.2.0未受安全漏洞影响

Hatas表示,漏洞是在11月24日发现的,他将内存泄露问题于12月26日提交,但似乎最新的媒体播放器依然存在这个问题。Hatas指出自己是在Windows XP上安装最新服务包进行测试后发现这个问题的。

尽管2.1.5版本包含有漏洞的libavcodec,开发人员表示VLC 2.2.0中并不存在这两个问题。需要注意的是,libavcodec被其他免费媒体播放器所使用如MPlayer等作为他们主要的解码引擎。

VLC支持所有平台(Windows、Mac、Linux)并且颇具人气,下载量超过10亿次。这一应用同时也支持移动平台,如安装、iOS以及Windows Phone。


原文链接:http://news.softpedia.com/news/Two-Zero-Days-Found-in-the-Codec-Library-Used-by-VLC-2-1-5-470547.shtml


鲜花

握手

雷人

路过

鸡蛋

最新评论

  • 解决 Wn10无法连接 蓝牙耳
  • Python之Selenium知识总结
  • 2万字带你了解Selenium全攻
  • 解决网站网页不能复制,不
  • 我对ddos攻击的见解以及ufo
论坛精选
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程
NTP放大反射DDOS攻
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程 图上是国外测的 本文实测 能有二三
DDOS:NTP、SSDP、DNS、SNMP、RIP 放大反射攻击、扫描脚本
DDOS:NTP、SSDP、D
NTP、SSDP、DNS、SNMP、RIP 放大反射攻击扫描脚本 不懂的 请自行谷歌 声明:本文转
返回顶部