1. Thông tin chung
VLC là chương trình miễn phí dùng để
xem phim, nghe nhạc, phần mềm này có thể chạy trên nhiều hệ điều hành khác nhau.
Ưu điểm của VLC là có thể xem được phần lớn các định dạng audio, video mà không
cần cài đặt thêm codec. Ngày 31/07/2009, một lỗ hổng nghiêm trọng của VLC trong
việc xử lý file có định dạng *.XSPF đã được công bố. Lỗ hổng này có thể cho phép
hacker thực thi mã độc trên máy tính của người sử dụng.
|
Ngày
công bố |
Phần
mềm có lỗi |
Mức
độ nguy hiểm |
|
31/07/2009 |
VLC Media Player phiên bản 0.8.6f trở về
trước |
Cao |
2. Mô
tả kỹ thuật
File định dạng XSPF dùng để lưu danh sách nhạc dưới định dạng XML.
Trong quá trình xử lý các file *.xspf, phần mềm này không thực hiện đầy đủ việc
kiểm tra độ dài đầu vào của trường location. Điều này có thể dẫn đến lỗi tràn bộ
đệm nghiêm trọng khi trường này có độ dài rất lớn.
Để khai thác lỗ hổng
này, hacker có thể tạo file XSPF chứa mã độc và lừa người sử dụng mở ra. Nếu
thành công, hacker có thể kiểm soát máy tính của người dùng, cài đặt virus, ăn
cắp thông tin nhạy cảm…
3. Cập
nhật bản vá
Hiện nay, chưa có bản vá chính thức cho
lỗi trên. Vì vậy trong thời gian này, Bkis khuyến cáo người sử dụng VLC không
nên mở các file XSPF có nguồn gốc không rõ ràng. Đồng thời, theo dõi cập nhật
thông tin tại http://www.bkav.com.vn và http://www.videolan.org/vlc/.
Chuyên viên phân tích: Nguyễn Đắc Minh