หน่วยงานด้านความปลอดภัยทางไซเบอร์ของเยอรมัน CERT-Bund ค้นพบช่องโหว่ร้ายแรงที่พบบน VLC Media Player เวอร์ชั่นปัจจุบันนี้ได้เปิดช่องให้แฮ็กเกอรรันโค้ดอันตรายบนเครื่องเป้าหมายได้ ภายใต้รหัสช่องโหว่ CVE-2019-13615
โดยผู้โจมตีจากระยะไกลสามารถใช้ประโยชน์จากช่องโหว่นี้ในการรันโค้ดที่ต้องการบนเครื่องเป้าหมาย ซึ่งอาจทำให้เกิดภาวะ Denial of Service (DoS), ทำให้ข้อมูลรั่วไหล, หรือแม้แต่จัดการไฟล์ได้ดังใจ ทั้งนี้ VLC ถือเป็นตัวเล่นมีเดียแบบโอเพ่นซอร์สที่ทำงานได้บนหลายแพลตฟอร์ม
VLC นั้นมีทั้งรุ่นที่ทำงานบนโอเอสของเดสก์ท็อปและบนอุปกรณ์พกพาด้วย เฟรมเวิร์กนี้รองรับไฟล์มัลติมีเดียและโปรโตคอลสำหรับสตรีมมิ่งหลากหลายชนิด ซึ่งช่องโหว่นี้ถูกจัดอันดับความรุนแรงให้อยู่ในระดับสูงมาก ได้คะแนน CVSS มากถึง 9.8
ช่องโหว่นี้อยู่ในส่วนของบัฟเฟอร์ Heap-Basedใน mkv::demux_sys_t::FreeUnused()ซึ่งอยู่ใน modules/demux/mkv/demux.cppที่จะเรียกใช้จาก mkv::Open in modules/demux/mkv/mkv.cppโดยตอนนี้ VLC กำลังเร่งแก้ไขบั๊กนี้โดยเร็วที่สุด
ที่มา : gbhackers
