Cisco Talos 研究人员在交流 LIVE555(用于管理 RTSP(实时流协议)视频流连接的库)中的一个严重缺陷时,行动有点快。与他们的博客文章所暗示的相反,VLC 和 MPlayer 并不容易受到攻击。 LIVE555 中发现的缺陷位于服务器部分。然而,这两个多媒体播放器仅包含该库的客户端部分。 LIVE555的作者本人在微博上澄清了这一点论坛斜点。“VLC 有一个板载 RTSP 服务器,但它使用不同的实现,而不是 LIVE555”,罗斯·芬利森指定。
文章发表于上午8点38分
VLC 的严重缺陷允许您的计算机被远程黑客攻击
集成库中的错误允许通过发送格式错误的互联网数据包来远程执行任意代码。
在 VLC 中进行流式传输时要小心。安全研究人员来自思科塔罗斯最近发现著名多媒体播放器(在本例中为“LIVE555”)使用的库之一存在严重缺陷。这用于管理依赖于实时流协议(RTSP)的连接。该库中的一个错误可能导致缓冲区溢出,从而导致任意代码执行。为此,只需将格式错误的数据包发送到目标计算机就足够了。因此授权对机器进行远程黑客攻击的场景。
自 10 月 17 日起,该库的维护者 Live Networks 已修复该漏洞。这就是思科 Talos 擅自发布此错误的技术细节的原因。不过,尚不确定该修复是否已反映在 VLC 中。 VLC 的最后一次更新日期为 2018 年 8 月 31 日 (3.0.4)。因此,在等待确认时建议谨慎。该库还集成到另一个多媒体播放器 MPlayer 中。
