В популярном медиаплеере VLC, доступном для всех основных операционных систем, были обнаружены две уязвимости, вследствие которых злоумышленник может вызвать повреждение памяти и выполнить на компьютере жертвы произвольный код.

Исследователь безопасности Вейсел Хатас (Veysel Hatas) сообщил о найденных уязвимостях разработчикам плеера еще в декабре и опубликовал исследования в минувшую пятницу на сайте seclists.org. Согласно его записям, один баг может привести к нарушению доступа функции предотвращения выполнения данных (DEP), а другой связан с доступом к записи данных. Впрочем, ни одна из брешей пока не была закрыта специалистами из VideoLAN — компании, которая занимается поддержкой и развитием VLC.

Обе уязвимости актуальны для медиаплеера версии 2.1.5, причем только в среде ныне устаревшей операционной системы Windows XP. Несмотря на то что Microsoft больше не осуществляет поддержку этой ОС, она по сей день установлена на многих устройствах и активно используется в развивающихся странах.

«VLC Media Player содержит уязвимость, которая активируется, когда вводимые пользователем данные должным образом не проверяются при обработке специально созданного файла FLV. Это может позволить злоумышленнику повредить память и потенциально выполнить произвольный код», — говорится в опубликованном исследовании. Описание второй уязвимости повторяет первое слово в слово, за тем лишь исключением, что речь идет о файлах типа M2V.

Согласно документации, опубликованной Вейселом Хатасом, патчей, способных исправить уязвимости, пока что не существует.

Категории: Уязвимости