セキュリティ研究者は、最も人気のある2つのメディアプレーヤーであるMPlayerとVLCに重大な脆弱性が発見されたことを発表しました。. この問題は、両方のアプリケーションで使用され、CVE-2018-4013アドバイザリで追跡されているLIVE555メディアストリーミングライブラリで発見されました.
CVE-2018-4013: Live555メディアストリーミングライブラリによって引き起こされるVLCおよびMPlayerの脆弱性
2つの人気のあるメディアプレーヤーVLCとMPlayerが同じ脆弱性の影響を受けていることが判明しました. これは。。。でした 報告 原因の根本は両方が使用しているLIVE555メディアストリーミングライブラリであることがわかったセキュリティ研究者による. これは、Live Networks社によって維持されており、RTPおよびSIPプロトコルとの互換性を提供し、さまざまなオーディオおよびビデオ形式を処理するのに役立ちます。. これがないと、VLCとMPlayerは最も重要な機能の1つであるストリーミングメディアを再生できません。.
CVE-2018-4013アドバイザリが脆弱性に割り当てられました, これは、パッチが適用されていないバージョンのソフトウェアにより、世界中の何百万ものユーザーがハッカー攻撃の被害者になる可能性があることを示しています。. この理由は、HTTPリクエストが行われる方法です. ハッカーは、コードの実行に使用できるスタックベースのバッファオーバーフローを引き起こす特別なパケットを作成する可能性があります. CVE-2018-4013アドバイザリの完全な説明は、次のとおりです。:
悪用可能なコード実行の脆弱性は、LIVE555RTSPサーバーライブラリバージョンのHTTPパケット解析機能に存在します 0.92. 特別に細工されたパケットは、スタックベースのバッファオーバーフローを引き起こす可能性があります, コードが実行される結果. 攻撃者はパケットを送信してこの脆弱性を引き起こす可能性があります.
これらの2つのプログラムは、エンドユーザーによって最も一般的にインストールされるサードパーティソフトウェアの1つであり、これが、このような問題が自動的に主要な影響として分類される理由です。. ただし、セキュリティレポートは、問題がアプリケーションのコードベース内にあるのではなく、外部ソースによって開発され、プレーヤーの機能を強化するために使用されるコンポーネントにあることを示しています。. この特定のケースでは、メディアストリーミングコンポーネントは、コア機能の1つを提供するために不可欠です。.
両方のプレーヤーがセキュリティアップデートを発行しており、ユーザーはできるだけ早くそれらを適用することをお勧めします.