تم اكتشاف ثغرة جديدة من نوع Buffer Overflow في برنامج تشغيل ملفات الميديا الشهير VLC media player.

تم التبليغ عن الثغرة من قبل شخص اسمه  Aliz Hammond. سبب الثغرة هو خطأ برمجي في دالة MP4_ReadBox_skcr() مما يمكن المهاجم من تكوين ملف MP4/MPEG4 بشكل معين بحيث يسبب Crash للبرنامج و هناك احتمال من امكانية استغلال الثغرة بشكل كامل و تشغيل كود ضار على الجهاز.

تم تصنيف الثغرة على انها عالية الخطورة (Highly critical) حيث أنها موجودة في جميع النسخ من 1.0.0 to 1.1.8 و حتى احدث نسخة من البرنامج.

أعلن مبرمجي VLC على انهم قد قاموا باصلاح الثغرة في النسخة القادمة من البرنامج VLC media player 1.1.9 و قد تم اضافة ترقيع للثغرة في مكاتب VLC الرسمية.

حتى صدور VLC media player 1.1.9 ينصح مبرمجي VLC بالتالي:

  • عدم فتح أي ملفات غير موثوق بها خصوصا ذات الامتداد MP4/MPEG4.
  • تعطيل اضافة المتصفح الخاصة بالبرنامج (VLC browser plugins) لانها تقوم بتشغيل الملفات الموجودة على الانترنت بشكل تلقائي.
  • أو بامكان المستخدمين تعطيل اضافة تشغيل ملفات MP4 بشكل يدوي من خلال ازالة الملفات المسماة libmp4_plugin.* في مجلد البرنامج .

للمزيد من المعلومات: Heap corruption in MP4 demultiplexer.

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn