VLC 플레이어 3.0.11에서 심각한 원격 코드 실행 취약점 패치돼

VLC Media Player 3.0.11 fixes severe remote code execution flaw

VideoLan에서 윈도우, 맥, 리눅스용 VLC 플레이어 3.0.11을 공개했습니다. 

이 패치는 공격자가 원격으로 명령을 실행할 수 있으며 VLC 프로그램을 충돌시킬 수 있었던 보안 취약점을 포함한 취약점을 수정하고 기타 사항을 개선합니다.

이 취약점은 CVE-2020-13428로 등록되었으며 “VLC H26X packetizer 내 버퍼 오버플로우” 취약점으로 악용될 경우 공격자가 사용자와 동일한 보안 수준으로 명령을 실행하도록 허용합니다.

VideoLan의 보안 공지에 따르면, 이 취약점은 피해자가 VLC로 특수 제작된 파일을 오픈하도록 속이는 방식으로 악용이 가능합니다.

VideoLan은 이 취약점으로 인해 플레이어가 충돌될 가능성이 높지만, 사용자와 동일한 보안 수준으로 원격 명령 실행이 가능할 수도 있다고 밝혔습니다.

악성 공격자가 악용에 성공할 경우, VLC를 충돌시키거나 타깃 사용자의 권한을 통해 임의 코드를 실행할 수 있습니다.

단순 충돌이 발생할 가능성이 높지만 유출된 사용자 정보 또는 원격 실행 코드와 함께 악용될 경우를 배제할 수 없습니다. 

ASLR 및 DEP는 코드 실행 가능성을 줄이지만, 우회가 가능할 수 있기 때문입니다. 아직까지 이 취약점을 악용한 실제 코드 실행 익스플로잇은 찾아볼 수 없었습니다.

이 취약점의 심각성 및 문제 코드가 공개되었기 때문에, 모든 사용자들은 버전 3.0.11을 다운로드 및 설치할 것을 권장합니다.

3.0.11 버전에서 수정된 내용은 아래와 같습니다.

HLS 회귀 수정

맥 OS에서 시작 시 발생할 수 있는 충돌 수정

부정확한 M4A 파일 탐색 수정

안드로이드 리샘플링 수정

맥 OS에서 블루레이 마운트 포인트 나열 시 충돌 수정

맥 OS에서 불필요한 권한 경고 제거

맥 OS에서 재생 일시 정지 후 영구 음소거 수정

AAC 재생 회귀 및 보안 문제 수정

출처:

https://www.bleepingcomputer.com/news/security/vlc-media-player-3011-fixes-severe-remote-code-execution-flaw/