ドイツ連邦政府でコンピュータおよびセキュリティを担当しているBSI (Bundesamt für Sicherheit in der Informationstechnik; 連邦電子情報保安局)は7月19日(ドイツ時間)、「Kurzinfo CB-K19/0634 - VLC: Schwachstelle ermöglicht Codeausführung」において、人気の高いメディアプレーヤである「VLC Media Player」に脆弱性が存在すると伝えた。
この脆弱性を悪用されると、遠隔から攻撃者によって任意コードの実行、サービス拒否状態の発生、情報漏洩、ファイルの操作などを実施される危険性があるとされている。脆弱性に関する情報は次のページにまとまっている。
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- VLC 3.0.7.1 (Linux版、UNIX版、Windows版)
本稿執筆時点ではこの脆弱性を修正したバージョンは公開されていない。ただし、修正へ向けた開発は進められており、そう遠くない段階で問題を修正したバージョンが公開されると見られる。新しいバージョンが公開された場合は迅速にアップデートを適用することが望まれる。
この脆弱性を悪用するには細工されたメディアデータが必要。問題のない出所が明らかなデータを再生する分には危険性が低いと考えられるが、任意のメディアデータを再生する必要がある場合は注意が必要。修正版が公開されるまでは出所が不明なメディアデータの再生は控えたほうがよいだろう。