流行的VLC媒体播放器软件的2.0.5及更早版本包含一个严重的漏洞,攻击者可能利用该漏洞在计算机上执行恶意代码。
该漏洞位于负责播放ASF(高级流媒体格式)视频文件的VLC组件,开发该媒体播放器的非营利组织VideoLAN在一份声明中说安全咨询在其网站上发布。
[也:15个免费的安全工具,你应该试试]
脆弱性研究和管理公司Secunia额定的缺陷作为高度关键,并说它的成功利用可以允许执行任意代码。这个漏洞可以通过欺骗用户打开一个特别制作的ASF文件来利用。
VideoLAN建议用户不要从不受信任的位置打开文件,并在解决问题之前禁用VLC浏览器插件。默认情况下,VLC为Mozilla Firefox、Internet Explorer、谷歌Chrome、Apple Safari、Opera和Konqueror安装插件。这些插件允许播放嵌入到网页中的视频文件。
另一种解决方案是从VLC安装目录手动删除脆弱的libasf_plugin.dll文件,VideoLAN说。这将使软件无法播放ASF视频,直到软件更新期间重新安装了补丁版本的文件。
媒体播放器的下一个版本VLC 2.0.6将包含一个补丁,目前只用于测试目的。
火狐、Chrome和Opera的用户可以使用这些浏览器中的“点击播放”功能,防止基于插件的内容被自动播放。这种方法可以阻止针对Java、Adobe Reader或Flash Player等流行浏览器插件漏洞的无声网络攻击。Mozilla本周宣布计划在默认情况下为所有插件打开“点击播放”Firefox浏览器的最新版本,Flash Player插件的最新版本除外。
VLC媒体播放器是免费使用的,可用于Windows, Mac OS X, Linux和其他unix类操作系统,包括Solaris, FreeBSD, NetBSD, OpenBSD,以及Android和iOS。