محققان امنیتی در کتابخانهی LIVE555 Streaming Media یک آسیبپذیری جدی اجرای کد را شناسایی کردند. این کتابخانه در نرمافزارهای مختلف پخش رسانه مانند VLC و Mplayer مورد استفاده قرار گرفته است. این کتابخانه توسط Live Networks توسعه داده شده و نگهداری میشود و تشکیلشده از کتابخانههای C++ است که برای ارسال رسانه بر روی پروتکلهایی مانند RTP/RTCP ،RTSP و یا SIP طراحی شدهاند. این مجموعه کتابخانه از فرمتهای مختلف ویدئویی و کدکهای صوتی پشتیبانی میکند. استفادهی گسترده از این کتابخانه در نرمافزارهای مختلف و تحت تاثیر قرار گرفتن آنها توسط این آسیبپذیری، میلیونها کاربر را در معرض خطر قرار داده است.
به این آسیبپذیری اجرای کد، شناسهی CVE-2018-4013 اختصاص یافته و در قابلیت تجزیهکنندهی بستههای HTTP وجود دارد. این اشکال در تجزیهی سرآیند که میخواهد بستههای RTSP را در تونل HTTP ارسال کند، شناسایی شده است. مهاجم میتواند با بستهی دستکاریشده، منجر به بروز سرریز بافر مبتنی بر پشته شده و در ادامه به اجرای کدهای دلخواه بپردازد. تنها چیزی که مهاجم برای بهرهبرداری از این آسیبپذیری نیاز دارد، ارسال بستهای حاوی چندین رشتهی Accept: و یا x-sessioncookie به سمت برنامهی آسیبپذیر است که در تابع lookForHeader شرایط سرریز بافر ایجاد کرده و مهاجم میتواند به اجرای کدهای دلخواه بپردازد.
محققان وجود آسیبپذیری در نسخهی ۰٫۹۲ از این کتابخانه را تایید کردهاند ولی احتمال میرود نسخههای قبلتر نیز تحت تاثیر این آسیبپذیری قرار گرفته باشند. محققان در تاریخ ۱۰ اکتبر این آسیبپذیری را گزارش کرده و گروه توسعهدهنده در تاریخ ۱۷ اکتبر با انتشار بهروزرسانی، این آسیبپذیری را وصله کرده است. محققان یک روز بعد از انتشار وصله نیز آن را بهطور عمومی منتشر کردند.