安全公告 1901
摘要:读取缓冲区溢出和双重释放 日期
:2019 年 6 月 受影响的版本:VLC 媒体播放器 3.0.6 及更早版本 ID:VideoLAN-SA-1901 CVE 参考:CVE-2019-5439、CVE-2019-12874细节
远程用户可以创建一些特制的 avi 或 mkv 文件,当目标用户加载这些文件时,将分别触发 ReadFrame (demux/avi/avi.c) 中的堆缓冲区溢出(读取)或 zlib_decompress_extra() (demux/mkv/utils.cpp) 中的双重释放。影响
如果成功,恶意第三方可能会触发 VLC 崩溃或以目标用户的权限执行任意代码。威胁缓解
要利用这些问题,需要用户明确打开特制的文件或流。
ASLR 和 DEP 有助于减少暴露,但可能会被绕过。解决方法
在补丁应用之前,用户应避免打开来自不受信任的第三方的文件或访问不受信任的远程站点(或禁用 VLC 浏览器插件)。解决方案
VLC 媒体播放器 3.0.7 解决了该问题。
据他们说,安装 VLC media player 3.0.7 将解决该问题。
但是,Ubuntu 中可用的是旧版本 3.0.4
user@linux:~$ apt show vlc
Package: vlc
Version: 3.0.4-1ubuntu0.2
Priority: optional
Section: universe/graphics
Origin: Ubuntu
这难道不被视为高安全风险吗?
答案1
要在所有当前支持的 Ubuntu 版本中安装 vlc snap 包版本 3.0.7,请打开终端并输入:
sudo snap install vlc
VLC 是 VideoLAN 项目的媒体播放器。它完全开源且隐私友好,可播放所有多媒体文件和流媒体。当有更新可用时,vlc snap 包将在后台自动更新。
Linux 生态系统有多种方法可以避免此类安全风险。如果没有可用的更新 snap 包,有时可以在虚拟环境中安装同一包的更新版本,例如使用 python3-kivy,它在 18.04 中有一个错误这个解决方法。另一个可能的安全替代方法是搜索同一应用程序的更新的 flatpak 包,并以没有 root 权限的普通用户身份将 flatpak 包安装在您自己的主目录中。