A VLC egy elképesztően népszerű és hasznos, nyílt forráskódú és keresztplatformos médialejátszó, amelyen a nonprofit VideoLAN Project alkotott meg. A szoftver gyakorlatilag bármilyen médiafájl lejátszására alkalmas, külön kodekcsomagok letöltésére nincs szükség mellette. Akár a sérült vagy hiányos fájlokkal is boldogul. Sajnos azonban a Pen Test Partners szakemberei találtak benne egy komoly sérülékenységet, az AVI és az MKV fájlformátumok kapcsán - a jelentésüket pedig a napokban tették közzé.
Mindkét fájl dekódolása során olyan biztonsági rések vannak a programban, amelyeken keresztül összeomlásokat lehet előidézni, valamint az aktuálisan bejelentkezett felhasználói jogosultsági körén belül bármilyen kódot lefuttathatnak a támadók.
Ez azt jelenti, hogy egy támadó bárhová feltölthet egy AVI vagy MKV videót, majd ha a letöltők VLC 3.0.7-nél korábbi lejátszóval nyitják azt meg, akkor gyakorlatilag bármit végrehajthat a PC-jükön a hacker.
A sérülékenységet javító legújabb verzió itt érhető el.
