Văn phòng bảo mật thông tin Liên bang Đức CERT-Bund – tổ chức chuyên phát hiện và đối phó những trường hợp khẩn cấp về an ninh mạng quốc gia – vừa phát cảnh báo về lỗ hổng đặc biệt nghiêm trọng trong ứng dụng VLC Media Player.
Cụ thể, lỗ hổng bảo mật có mã hiệu CVE-2019-13615, được phân loại ở mức Cao (cấp độ 4) – mức rủi ro cao thứ 2 của CERT-Bund. Theo cảnh báo, tin tặc có thể khai thác lỗi này để tấn công thực thi mã từ xa, tiết lộ thông tin trái phép, tự ý sửa đổi tập tin và làm gián đoạn dịch vụ.
VLC đang trong quá trình vá lỗi hệ thống. Công ty cho biết hiện tại việc khắc phục chỉ ở mức 60% và chưa đưa ra thời gian hoàn thành dự kiến. Theo CERT-Bund, chưa có trường hợp khai thác lỗ hổng bị phát hiện, nhưng tổ chức này khuyến cáo người dùng nên tạm dừng sử dụng VLC Media Player cho đến khi bản cập nhật hệ thống chính thức phát hành.
VLC Media Player là chương trình phát video và nghe nhạc mã nguồn mở có thể được sử dụng trên Windows, macOS, Linux và các nền tảng di động Android, iOS. Theo CERT-Bund, vì ứng dụng quá phổ biến (hơn 3 tỷ lượt tải xuống) khiến mức độ nguy hiểm của lỗ hổng càng trở nên nghiêm trọng hơn.
Tháng trước các nhà nghiên cứu cũng đã phát hiện hai lỗ hổng rủi ro cao khác của ứng dụng từ phiên bản 3.0.6 trở về trước, cho phép tin tặc tải những tập tin video đặc biệt lên hệ thống rồi lừa nạn nhân mở ra để thực hiện tấn công thực thi mã từ xa.
Theo Neowin