[ทางโครงการปฎิเสธข่าวแล้ว] ช่องโหว่ VLC เปิดทางไฟล์ mkv มุ่งร้ายรันโค้ดในเครื่องเหยื่อ ยังไม่มีแพตช์

by lew
24 July 2019 - 04:32

update: ทางโครงการออกมาปฎิเสธข่าวแล้ว

เมื่อเดือนที่แล้วมีรายงานถึงบั๊กของโครงการ VLC ที่ไฟล์ mkv ที่ออกแบบมาเฉพาะสามารถทำให้ VLC แครช และแสดงให้เห็นว่ามีบั๊ก buffer overflow นำไปสู่การรันโค้ดในเครื่องของเหยื่อในที่สุด

ผู้ใช้ที่ใช้ชื่อว่า topsec รายงานช่องโหว่นี้ทางช่องทางแจ้งบั๊กปกติ โดยไม่ได้ใช้ช่องทางรายงานช่องโหว่ความปลอดภัย ทำให้ข้อมูลช่องโหว่นี้อยู่บนเว็บ Trac ของโครงการ VLC เพิ่มความเสี่ยงเพราะข้อมูลช่องโหว่ออกสู่สาธารณะก่อนที่จะมีแพตช์

ช่องโหว่ CVE-2019-13615 นี้ถูกจัดให้มีความร้ายแรงระดับวิกฤติ CVSS ที่ 9.8 คะแนน แต่ยังไม่มีรายงานการโจมตีแต่อย่างใด

ที่มา - NIST

ภาพโดย StartupStockPhotos

Blognone Jobs Premium