Mashhur VLC media pleerida muhim zaiflik aniqlandi.
Muvaffaqiyatli hujum uchun tajovuzkor foydalanuvchini maxsus yaratilgan faylni ochishga ishontirishi kerak.
Mashhur ochiq manbali VLC media pleerini ishlab chiquvchilari o’z mahsulotlaridagi ta’sirlangan tizimda o’zboshimchalik bilan kod bajarilishiga imkon beradigan muhim zaiflikni tuzatdilar. Muammo (CVE-2019-12874) zlib_decompress_extra funksiyasidagi ikki tomonlama zaiflik bo‘lib, undan Matroska demultiplexerida maxsus tayyorlangan MKV faylini tahlil qilish vaqtida foydalanish mumkin. Zaiflikning CVSS v3 jiddiylik darajasi 9,8.
Xato VLC 3.0.7 versiyasining chiqarilishi bilan tuzatildi, u yuqorida aytib o‘tilgan zaiflikka qo‘shimcha ravishda bir qator boshqa zaifliklarni ham tuzatadi, shu jumladan xavfli bufer to‘lib ketishi zaifligini (CVE-2019-5439). Bu muammo ReadFrame funksiyasi (demux/avi/avi.c) bilan bog‘liq bo‘lib, undan maxsus tayyorlangan .avi fayli yordamida foydalanish mumkin. Bu tajovuzkorga media pleerni buzishi yoki joriy foydalanuvchi imtiyozlari bilan kodni bajarishi mumkin.
Muvaffaqiyatli hujum uchun tajovuzkor foydalanuvchini maxsus yaratilgan faylni ochishga ishontirishi kerak. Shuning uchun, ishlab chiquvchilar foydalanuvchilarga ishonchsiz manbalardan fayllarni ochishdan va shubhali veb-saytlarga tashrif buyurishdan qochishni tavsiya qiladi (yoki ularga tashrif buyurganingizda VLC plaginini o’chirib qo’ying).
