Розробники популярного медіаплеєра VLC з відкритим вихідним кодом виправили в продукті критичну уразливість, що дозволяє виконати довільний код на системі.
Проблема (CVE-2019-12874) – це уразливість подвійного вивільнення пам’яті в функції zlib_decompress_extra і може бути проексплуатована під час парсинга спеціально сформованого MKV файлу в Демультиплексорі Matroska. Ступінь небезпеки уразливості оцінена в 9,8 балів за шкалою CVSS v3.
Баг був виправлений з випуском версії VLC 3.0.7, яка, крім вищевказаної, також виправляє низку інших уразливостей, в тому числі небезпечну уразливість переповнення буфера (CVE-2019-5439). Ця проблема пов’язана з функцією ReadFrame (demux/avi/avi.c) і може бути проексплуатована за допомогою спеціально сформованого файлу .avi. В результаті зловмисник зможе спровокувати збій в роботі медіаплеєра або виконати код з правами поточного користувача.
Для успішної атаки зловмисникові потрібно переконати користувача відкрити спеціально сформований файл. У зв’язку з цим розробники рекомендують користувачам не відкривати файли з неперевірених джерел і не заходити на сумнівні сайти (або відключити плагін VLC при їх відвідуванні).
Нагадаємо цього літа користувачі Chrome зможуть протестувати першу версію браузера, яка повинна “паралізувати роботу блокувальників реклами”.
Також Microsoft випустила оновлену версію свого Outlook для Android, що виправляє важливу вразливість у популярному поштовому додатку, який зараз використовується понад 100 мільйонами користувачів.
Окрім цього, згідно з рейтингом продуктивності смартфонів, створеним AnTuTu, гаджети Xiaomi вже не є першими у світі. Так, лідером рейтингу став OnePlus 7 Pro, який набрав 373 953 бали.
