Опасная уязвимость обнаружена в медиаплеере VLC

Изъян существует в демультиплексорном компоненте обработчика МР4-файлов и вызван ошибкой в функции MP4_ReadBox_skcr. Эксплуатируя его, хакер может вызвать переполнение буфера и запуск произвольного кода на целевом компьютере.

Уязвимость была выявлена в версии проигрывателя 1.1.8, однако ей могут быть подвержены и более ранние выпуски VLC Media Player. Специалисты компании Secunia присвоили изъяну высший уровень опасности, поскольку его можно проэксплуатировать удаленно — через ActiveX-элемент VLC либо через соответствующий плагин для обозревателя Firefox. Чтобы спровоцировать нежелательную реакцию, необходим особым образом сформированный MP4-файл.

В принципе патчи для VLC Media Player уже имеются в наличии, но только в виде исходного кода. Соответственно, применить их пока что можно лишь к Linux-сборкам проигрывателя; что же касается версий для Windows и Mac OS, то их пользователям придется ждать выхода нового выпуска — 1.1.9. Возможно, что в нем будет откорректирована еще одна ошибка безопасности, недавно обнаруженная в библиотеке libmodplug; этот программный элемент входит в состав VLC, однако разрабатывается не участниками проекта VideoLAN, а третьесторонним поставщиком.