درصورتیکه کاربرا از یک مدیا پلیر VLC در رایانهی خود استفاده کند و بهتازگی آن را بهروزرسانی نکرده باشد، نباید هیچ فایل ویدئویی غیرقابل اطمینانی را بهطور تصادفی بارگیری شده است، در آن پخش کند. انجام این کار به مهاجمان اجازه می دهد تا بهصورت از راه دور کنترل کامل سیستم رایانهی کاربر را به دست گیرند.
این مسأله به این دلیل است که نرمافزار مدیا پلیر VLC نسخههای قبل از نسخهی ۳٫۰٫۷ دارای دو آسیبپذیری امنیتی با خطر بالا و بسیاری از آسیبپذیریهای امنیتی با شدت متوسط و پایین است که میتواند منجر به حملات اجرای کد دلخواه شود. VLC با بیش از ۳ میلیارد دانلود، یک نرمافزار مدیا پلیر متنباز بسیار محبوب است که درحالحاضر توسط صدها میلیون کاربر در سراسر جهان در همهی سیستم عاملهای مهم ازجمله ویندوز، macOS، لینوکس و سیستم عاملهای موبایل ازجمله اندروید و iOS استفاده میشود.
این آسیبپذیری که با شناسهی CVE-2019-12874 شناسایی میشود، اولین آسیبپذیری با شدت بالا است که یک مسألهی آزادسازی مجدد (Double-free) است که در تابع zlib_decompress_extra مربوط به پلیر VideoLAN VLC وجود دارد و زمانی رخ میدهد که این پلیر یک فایل MKV ناقص را در Matroska، parse میکند.
دومین آسیبپذیری با شدت بالا که با شناسهی CVE-2019-5439 شناسایی میشود، یک مسألهی سرریز بافر خواندنی است که در تابع ReadFrame وجود دارد و بااستفاده از یک فایل ویدئویی AVI ناقص ایجاد میشود.
اگرچه اثباتهای مفهومی که توسط پژوهشگران نمایش داده شده موجب خرابی شده است، اما یک مهاجم بالقوه میتواند از این آسیبپذیریها بهمنظور اجرای کد دلخواه با همان امتیازات کاربر هدف در سیستم بهرهبرداری کند. همهی کاری که مهاجم باید انجام دهد، نوشتن یک فایل ویدئویی MKV یا AVI مخرب و فریب کاربران برای پخش آن بااستفاده از نسخهی آسیبپذیر VLC است. انجام این کار سخت نیست، زیرا مهاجمان بهراحتی میتوانند در عرض چند ساعت صدها هزار کاربر را با انتشار فایلهای ویدئویی مخرب در وبگاههای تورنت هدف قرار دهند.
براساس مشاورهنامهای که توسط VideoLAN منتشر شده است، داشتن محافظتهای ASLR و DEP فعال در سیستم میتواند در مقابله با این تهدید به کاربران کمک کند، اما توسعهدهندگان تأیید کردند که میتوان این محافظتها را نیز دور زد. به کاربران بهشدت توصیه میشود که نرمافزار مدیا پلیر خود را به نسخهی ۳٫۰٫۷ یا نسخههای جدیدتر بهروزرسانی کنند و از باز کردن یا پخش فایلهای ویدئویی غیرقابل اطمینان خودداری کنند.
