当心在VLC播放器上播放不受信任的视频可能会入侵您的计算机

这样做可以让黑客远程完全控制你的计算机系统。

这是因为在3.0.7之前的VLC media player软件版本中，除了许多其他中、低严重性的安全漏洞外，还包含两个高风险的安全漏洞，这可能会导致任意代码执行攻击。

VLC下载量超过30亿次，是一款非常流行的开源媒体播放器软件，目前全球数亿用户正在所有主要平台上使用，包括Windows、macOS、Linux以及Android和iOS移动平台。

Symeon Paraschoudis从Pen测试合作伙伴处发现的第一个高严重性漏洞被识别为CVE-2019-12874，它是一个双自由漏洞，存在于VideoLAN VLC player的“zlib_decompresse_extra”功能中，在解析Matroska解复用器中格式错误的MKV文件类型时触发。

第二个高风险缺陷被识别为CVE-2019-5439，由另一位研究人员发现，是一个存在于“ReadFrame”函数中的读取缓冲区溢出问题，可使用格式错误的AVI视频文件触发。

尽管两位研究人员演示的概念验证都会导致崩溃，但潜在的攻击者可以利用这些漏洞以与系统上目标用户相同的权限执行任意代码。

攻击者只需制作一个恶意的MKV或AVI视频文件，并诱骗用户使用易受攻击的VLC版本播放该文件。

这不是一项艰巨的工作，因为攻击者只需在torrent网站上发布恶意视频文件，模仿新发布的电影或电视剧的盗版副本，就可以在数小时内轻松锁定数十万用户。

根据VideoLAN发布的一条建议，在系统上启用ASLR和DEP保护可以帮助用户减轻威胁，但开发人员承认，这些保护也可以绕过。

Paraschoudis使用Hongfuzz fuzzing工具发现了这个问题和其他四个漏洞，VideoLAN团队本月早些时候也修复了这些漏洞，以及其他安全研究人员通过EU-FOSSA漏洞赏金计划报告的其他28个漏洞。

强烈建议用户将其媒体播放器软件更新至VLC 3.0.7或更高版本，并应避免打开或播放来自不受信任的第三方的视频文件。