В медиапроигрывателе VLC Media Player исправлена критическая уязвимость

Разработчики из некоммерческой организации VideoLan выпустили версию медиапроигрывателя VLC Media Player 3.0.11, исправляющую критическую уязвимость (CVE-2020-13428). Ее эксплуатация позволяет злоумышленникам удаленно выполнять команды или аварийно завершать работу VLC на уязвимом компьютере.

Проблема связана с переполнением буфера в упаковщике H26X VLC и может быть использована путем отправки жертве специально сформированного файла. Также злоумышленнику необходимо обманом заставить жертву открыть вредоносный файл с помощью VLC.

По словам специалистов из VideoLan, уязвимость может вызвать сбой в работе проигрывателя и может быть использована для удаленного выполнения команд с привилегиями целевого пользователя. Технологии ASLR и DEP помогают снизить вероятность выполнения кода, но злоумышленники могут их обойти.

В связи с опасностью данной уязвимости пользователям настоятельно рекомендуется обновить медиапроигрыватель до версии 3.0.11.