В популярном медиаплеере VLC обнаружены две уязвимости, благодаря которым злоумышленник может вызвать повреждение памяти и выполнить на компьютере жертвы произвольный код, сообщает 22 января «Лаборатория Касперского».

Исследователь безопасности Вейсел Хатас (Veysel Hatas) сообщил о найденных уязвимостях разработчикам плеера еще в декабре и опубликовал исследования в минувшую пятницу на сайте seclists.org. Согласно его записям, один баг может привести к нарушению доступа функции предотвращения выполнения данных (DEP), а другой связан с доступом к записи данных. Впрочем, ни одна из брешей пока не была закрыта специалистами из VideoLAN — компании, которая занимается поддержкой и развитием VLC.

Обе уязвимости актуальны для медиаплеера VLC версии 2.1.5 (последняя стабильная версия), причем только в среде ныне устаревшей операционной системы Windows XP. Несмотря на то, что Microsoft больше не осуществляет поддержку этой ОС, она по сей день установлена на многих устройствах и активно используется в развивающихся странах.

«VLC Media Player содержит уязвимость, которая активируется, когда вводимые пользователем данные должным образом не проверяются при обработке специально созданного файла FLV. Это может позволить злоумышленнику повредить памяти и потенциально выполнить произвольный код,» — говорится в опубликованном исследовании. Описание второй уязвимости повторяет первое слово в слово за тем лишь исключением, что речь идет о файлах типа M2V.