BDU:2020-03597
ООО «Ред Софт», АО «ИВК», АО «Концерн ВНИИНС», Сообщество свободного программного обеспечения, Video Astra Linux Special Edition для «Эльбрус», VLC Media Player, Альт 8 СП, Astra Linux Special Edition,
2020-06-08
Уязвимость функции hxxx_AnnexB_to_xVC() программы-медиапроигрывателя Videolan VLC связана с возможностью записи за пределами буфера в памяти. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, выполнить произвольный код при воспроизведении специально сформированного видео
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для РЕД ОС: Пользователь должен воздержаться от открытия файлов от ненадежных третьих сторон или использования плеера VLC, пока не будет применено исправление, или установить обновления безопасности для пакета vlc-3.0.11
Для Videolan VLC: Обновление до версии 3.0.11 и выше
Для Debian: https://security-tracker.debian.org/tracker/CVE-2020-13428
Для Astra Linux: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Для ОС ОН «Стрелец»: Обновление программного обеспечения vlc до версии 3.0.11-0+deb9u2.strelets1
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства