Secuniaの研究者は、クロスプラットフォームのVLC Media Playerを遠隔コード実行攻撃の危険にさらす、「極めて重大」な脆弱性を発見した。
この脆弱性は、Windows用のバージョン0.8.6hで確認されている。これ以前のバージョンにも影響がある可能性がある。VLCの開発チームからまもなくパッチが公開される予定となっている。
VLCの統計によれば、このオープンソースメディアプレーヤーは8900万回以上ダウンロードされている。
Secuniaの勧告には次のようにある。
この脆弱性は、modules/demux/wav.cの "Open()" 関数の整数オーバーフローエラーが原因で起きる。これを悪用すると、過度に大きな "fmt" のかたまりを持つ特別に作成されたWAVファイルによって、ヒープのバッファオーバーフローを引き起こすことができる。悪用に成功した場合、任意のコードを実行される可能性がある。
SecuniaはVLCのユーザーに対し、信頼できないWAVファイルを開くことを避けるように勧めている。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
