VideoLAN, компанията зад популярния медиен плейър VLC, запуши тази седмица серия от уязвимости в софтуера, като комбинирането на някои от тях позволява изпълнението на произволен код по отдалечен път (remote code execution, RCE). Другите уязвимости са с по-ниска степен на опасност и както обясняват от компанията, някои от тях са по-скоро безобидни по отношение на сигурността.

„Докато тези проблеми може да доведат най-вероятно просто до спиране на работата на програмата, ние не би трябвало да изключим, че те могат да бъдат комбинирани, за да се сдобият с лична информация или да бъде изпълнен код към системата дистанционно“, обясняват VideoLAN в специалния бюлетин, придружаващ издаването на обновленията. Не са засичани атаки, които да ги експлоатират преди адресирането им, уточняват от компанията. Всички 12 открити проблема са адресирани във версия 3.0.8 на VLC. За да бъде успешна атаката към тях, пишат VideоLAN, потребителят трябва да отвори специално изготвен файл или стрийм, които експлоатират някоя от споменатите слабости.

От Semmle Team, компанията, която е разкрила и съобщила на VideLAN 10 от уязвимостите, коментират, че четири от слабостите, макар и да не е посочено конкретно в бюлетина, могат самостоятелно да бъдат използвани за изпълнение на произволен код по отдалечен път, а с това и превземането на системата.

ДОБАВИ КОМЕНТАР

avatar
  Абонирай се  
Извести ме за