Cisco Talos 研究人員在交流 LIVE555(用於管理 RTSP(即時串流協定)視訊串流連線的程式庫)中的一個嚴重缺陷時,行動有點快。與他們的部落格文章所暗示的相反,VLC 和 MPlayer 並不容易受到攻擊。 LIVE555 中發現的缺陷位於伺服器部分。然而,這兩個多媒體播放器僅包含該庫的客戶端部分。 LIVE555的作者本人在微博上澄清了這一點論壇斜點。“CNN 有一個板載 RTSP 伺服器,但它使用不同的實現,而不是 LIVE555”,羅斯·芬利森指定。
文章發表於上午8點38分
VLC 的嚴重缺陷允許您的電腦被遠端駭客攻擊
整合庫中的錯誤允許透過發送格式錯誤的網路資料包來遠端執行任意程式碼。
在 VLC 中進行串流時要小心。安全研究人員來自思科塔羅斯最近發現著名多媒體播放器(在本例中為「LIVE555」)使用的其中一個庫中存在嚴重缺陷。這用於管理依賴即時串流協定(RTSP)的連線。該庫中的一個錯誤可能導致緩衝區溢出,從而導致任意程式碼執行。為此,只需將格式錯誤的資料包傳送到目標電腦就足夠了。因此授權對機器進行遠端駭客攻擊的場景。
自 10 月 17 日起,該庫的維護者 Live Networks 已修復該漏洞。這就是思科 Talos 擅自發布此錯誤的技術細節的原因。不過,尚不確定該修復是否已反映在 VLC 中。 VLC 的最後一次更新日期為 2018 年 8 月 31 日 (3.0.4)。因此,在等待確認時建議謹慎。該庫還整合到另一個多媒體播放器 MPlayer 中。
