VideoLAN VLC media player 缓冲区错误漏洞安全通告
发布时间 2019-07-22漏洞编号和级别
CVE编号:CVE-2019-13615,危险级别:严重,CVSS分值:9.8
影响版本
受影响的版本
VideoLAN VLC media player 3.0.7.1
漏洞概述
VideoLAN VLC media player是法国VideoLAN组织的一款免费、开源的跨平台多媒体播放器(也是一个多媒体框架)。该产品支持播放多种介质(文件、光盘等)、多种音视频格式(WMV,MP3等)等。
VideoLAN VLC media player 3.0.7.1版本中的modules/demux/mkv/demux.cpp文件的mkv::demux_sys_t::FreeUnused()存在缓冲区错误漏洞。该漏洞源于网络系统或产品在内存上执行操作时,未正确验证数据边界,导致向关联的其他内存位置上执行了错误的读写操作。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。
漏洞验证
暂无POC/EXP。
修复建议
目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:https://www.videolan.org/ 。
参考链接
京公网安备11010802024551号