VLC Media Player において mkv ファイルのパース処理におけるメモリ操作の不備に起因する Use-After-Free の脆弱性(Scan Tech Report) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.04.18(木)

VLC Media Player において mkv ファイルのパース処理におけるメモリ操作の不備に起因する Use-After-Free の脆弱性(Scan Tech Report)

動画再生ソフトウェアとして世界的なシェアを誇る VLC Media Player に、遠隔から任意のコードを実行させることが可能となる脆弱性が報告されています。

脆弱性と脅威 エクスプロイト
The VideoLAN project 公式サイト
The VideoLAN project 公式サイト 全 1 枚 拡大写真
◆概要

動画再生ソフトウェアとして世界的なシェアを誇る VLC Media Player に、遠隔から任意のコードを実行させることが可能となる脆弱性が報告されています。攻撃者が作成した悪意のあるファイルを脆弱な VLC Media Player で開いた場合、攻撃者にホストの制御を奪われてしまいます。ソフトウェアのアップデートにより対策してください。

◆分析者コメント

当該脆弱性を攻撃するには、ソフトウェアの性質上、悪意のあるファイルを攻撃対象ホストの利用者に開かせる必要があります。加えて脆弱性の性質上、対象とする OS や VLC Media Player のバージョンに応じて攻撃コードに含まれるペイロードの値を調整する必要があるため、攻撃するには難易度が高い脆弱性であると考えられますが、任意のコード実行まではできなくとも脆弱性によりサービス不能攻撃が成立するため、アップデートにより対策することを推奨します。

◆深刻度(CVSS)

[CVSS v2]
6.8
https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator?name=CVE-2018-11529&vector=(AV:N/AC:M/Au:N/C:P/I:P/A:P)

[CVSS v3]
8.0
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2018-11529&vector=AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

◆影響を受けるソフトウェア

VLC Media Player のバージョン 2.2.x 系のすべてのバージョンが当該脆弱性の影響を受けます。

◆解説

動画再生ソフトウェアとして世界的なシェアを誇る VLC Media Player に、メディアファイル処理の不備に起因する Use-After-Free の脆弱性が報告されています。

《株式会社ラック サイバー・グリッド研究所》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 伝説的ハッカーグループ出身者が大統領候補に(The Register)

    伝説的ハッカーグループ出身者が大統領候補に(The Register)

  2. 複数のVPN製品に、正規ユーザになりすまされる脆弱性(JVN)

    複数のVPN製品に、正規ユーザになりすまされる脆弱性(JVN)

  3. 不正アクセスで「ショコラ ベルアメール」オンラインショップのカード情報が流出(ジェイ・ワークス)

    不正アクセスで「ショコラ ベルアメール」オンラインショップのカード情報が流出(ジェイ・ワークス)

  4. ここが変だよ日本のセキュリティ 第37回 「CSIRT体制構築ブームに、スプラッシュマウンテンの滝の音が聞こえる」

    ここが変だよ日本のセキュリティ 第37回 「CSIRT体制構築ブームに、スプラッシュマウンテンの滝の音が聞こえる」

  5. 宅配業者の不在通知メールを装ったフィッシングメールで個人情報が流出(NHK大阪放送局)

    宅配業者の不在通知メールを装ったフィッシングメールで個人情報が流出(NHK大阪放送局)

  6. 「WPA3」に弱いパスワードを取得されるなど複数の脆弱性(JVN)

    「WPA3」に弱いパスワードを取得されるなど複数の脆弱性(JVN)

  7. 通販サイト「ななつ星 Gallery」に不正アクセス、セキュリティコード含む最大3,086件カード情報流出(JR九州)

    通販サイト「ななつ星 Gallery」に不正アクセス、セキュリティコード含む最大3,086件カード情報流出(JR九州)

  8. 人事異動案に関するデータを無断で持ち出しLINEで拡散、関係した職員を懲戒処分に(吉川松伏消防組合)

    人事異動案に関するデータを無断で持ち出しLINEで拡散、関係した職員を懲戒処分に(吉川松伏消防組合)

  9. いまや攻撃サーバは海外には無い(The Register)

    いまや攻撃サーバは海外には無い(The Register)

  10. [配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行

    [配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行

ランキングをもっと見る