بولتن امنیتی VLC از کشف یک آسیبپذیری مهم در VLC Media Player خبر داده است که به مهاجمان اجازهی اجرای کدهای مخرب بر روی رایانههای کاربران را میدهد. این آسیبپذیری بر نسخههای 3.0.20 و پیش از آن تأثیرگذار است.
مشکل مذکور از یک خطای محاسباتی ناشی میشود که میتواند توسط یک فایل مخرب MMS فعال شده و باعث ایجاد مشکل در حافظه این برنامه شود. این ضعف امنیتی به هکرها اجازه میدهد تا برنامه VLC را خراب کرده و یا به صورت غیرمجاز، کدهای دلخواه خود را اجرا نمایند.
اگرچه ظاهرا پیامد اصلی سوءاستفاده از این مشکل امنیتی، فقط خرابی برنامه VLC است، اما نمیتوان احتمال سرقت اطلاعات کاربران یا اجرای کد از راه دور را کاملا رد کرد. فناوریهایی مثل ASLR و DEP میتوانند خطر اجرای کدهای مخرب را کاهش دهند، اما این سیستمهای امنیتی هم ممکن است دور زده شوند.
سوءاستفاده از این آسیبپذیری، مستلزم این است که کاربر یک فایل MMS (Microsoft Media Server) آلوده را به طور مستقیم باز کند. به همین جهت، به کاربران توصیه میشود تا زمانی که این مشکل برطرف نشده، از باز کردن فایلهای MMS مشکوکی که از منابع نامطمئن دریافت کردهاند، خودداری نمایند. همچنین توصیه شده است که افزونههای VLC را در مرورگرهای خود غیرفعال کنند.
تیم توسعهدهنده VLC، این مشکل را در نسخه 3.0.21 این نرمافزار محبوب برطرف کرده است. برای بهروزرسانی VLC در نسخه دسکتاپ میتوانید از منوی Help>Check for Updates اقدام نمایید.
آندریاس فوبیان از شرکت Mantodea Security GmbH این آسیبپذیری را گزارش کرده است. با توجه به شدت بالقوه این مشکل، کاربران VLC باید هر چه سریعتر نرمافزار خود را آخرین نسخهی منتشرشده بهروزرسانی کنند.