VLC ma krytyczną lukę. Błąd pozwala atakującym zdalnie uruchamiać kod [Aktualizacja]
W popularnym odtwarzaczu VLC wykryto poważny błąd. Badacze z niemieckiego CERT-Bund zwracają uwagę na lukę, którą uznano za krytyczną, a oznaczono jako CVE-2019-13615. W wyniku błędu atakujący mogą zdalnie wykonywać kod oraz bez autoryzacji odczytywać i modyfikować pliki. O szczegółach informuje serwis Neowin.
Jak się okazuje, twórcy odtwarzacza wiedzą już o błędzie i prace nad jego rozwiązaniem trwają. Nie wiadomo jednak ile może to zająć, a do czasu rozwiązania usterki warto odinstalować program dla własnego bezpieczeństwa. Problem dotyczy nawet najnowszej wersji VLC i może być realnym zagrożeniem dla wielu użytkowników – według statystyk, jedno z nowszych wydań (3.0.6) pobrano dotąd prawie 105 milionów razy.
Warto zwrócić uwagę, że opisywana luka to nie pierwsza sytuacja w ostatnim czasie, w której VLC otwiera drogę do manipulowania plikami na komputerze. Wcześniej podobny przypadek opisywaliśmy w czerwcu, kiedy w niezałatanej wersji VLC dało się uskutecznić atak "zainfekowanym filmem".
Odkładając temat luk na bok, należy zaznaczyć, że VLC jest niezmiennie bardzo chętnie stosowanym odtwarzaczem, nie tylko w przypadku systemu Windows. Warto wiedzieć, że od niedawna VLC na Androida może być ponownie używany w Androidzie Auto.
Aktualizacja, 25 lipcaInformacja o luce w VLC okazała się być nieaktualna od ponad roku, a odtwarzacz jest już bezpieczny. Zamieszanie w mediach to skutek błędów na etapie zgłaszania podatności i przypisania jej numeru. O szczegółach można przeczytać w odrębnej publikacji.