Эксплуатация уязвимостей позволяет злоумышленнику получить контроль над системой с помощью вредоносного видеофайла.
В программе VLC Media Player было обнаружено 15 уязвимостей. Две из них имеют высокий уровень серьезности, пять — средний, три — низкий, а остальные пока не получили оценку. Большинство из них были обнаружены исследователями из Semmle Security Team и Pulse Security.
Самой опасной уязвимостью является CVE-2019-14970, затрагивающая демультиплексер MKV — компонент, ответственный за мультиплексирование цифровых и аналоговых файлов. Ее эксплуатация позволяет записывать данные за пределами выделенной области памяти (переполнение кучи). Исследователи также выделили похожую уязвимость (CVE-2019-14438), позволяющую злоумышленнику получить доступ к ПК жертвы с помощью вредоносного видеофайла формата .mkv. Для выполнения атаки необходимо, чтобы пользователь загрузил вредоносный файл и открыл его на своем компьютере.
Уязвимости средней серьезности (CVE-2019-14437, CVE-2019-14776, CVE-2019-14777, CVE-2019-14778, CVE-2019-14533) также могут быть использованы в рамках вредоносной кампании злоумышленника, когда зараженный файл размещается в открытом доступе.
Уязвимости затрагивают медиаплеер VLC версии 3.0.7.1. Разработчики уже выпустили обновленную версию 3.0.8, в которой исправлены обнаруженные уязвимости.
