根據ZDNet報導，在最新版本的VLC媒體播放器中發現了一個嚴重的漏洞，可能支持遠程代碼執行和其他惡意操作，而且目前沒有修補程序。非營利視頻局域網的VLC播放器是一款流行的軟件，用於播放和轉換各種音頻和視頻文件。該軟件可適用Windows、Linux、MacOSX、Unix、IOS和Android系統，事件被報導後，這款開源媒體播放器現在已經成為德國計算機應急小組（CERT-Bund）最近發布的安全諮詢的焦點。

CERT-Bund稱，在CVSS 3.0級別上，這個漏洞的打分為9.8/10，嚴重程度可想而知。它已被命名為為  CVE-2019-13615，此安全漏洞不需要權限升級或用戶交互即可利用。

具體來說，當從mkv：open in Module/demux/mkv/mkv.cpp調用模塊/demux/mkv/demux.cpp協議時，VLC的mkv：demux_sys_t：FreeUnuse()中發現基於堆的緩衝區超讀錯誤。ESET  表示：

遠程匿名攻擊者可以利用vlc 中的漏洞執行任意代碼、造成拒絕服務條件、提取信息或操作文件

雖然已經知道該漏洞是存在  Windows、Linux和Unix機器上的最新版本的VLC中，但並不排除會影響過去版本的可能性。

德國出版物Heise Online  報告說，只要使用一個特別的.mp4文件就有可能觸發該漏洞，但研究人員和CERT-Bund尚未證實這一點。

VLC 正在快速修復，據兩天前發布更新的一名開發人員稱，該漏洞已被授予修補程序的最高優先級，修補程序已完成60% 。

雖然沒有發布補丁的具體日期，不過幸運的是，目前還沒有發現有人利用這一漏洞。

參考：threatpost