來自思科Talos團隊的安全研究人員Lilith Wyatt在LIVE555流媒體庫（LIVE555 Streaming Media）中發現了一個嚴重的任意程式碼執行漏洞，包括VLC和MPlayer在內的流行媒體播放器以及一些內嵌流媒體播放器的裝置都受其影響。

LIVE555 Streaming Media是由Live Networks Inc.開發和維護一組為流媒體提供解決方案的跨平臺開源C++庫，可供企業或應用程式開發人員通過開放標準協議（如RTP/RTCP\RTSP或SIP）傳輸多媒體。

LIVE555 Streaming Media支援多種視訊格式的流式傳輸、接收和處理，如MPEG、H.265、H.264、H.263+、VP8、DV和JPEG視訊，以及一些音訊編解碼器，如MPEG、AAC、AMR、AC-3和Vorbis。

從相關資料來看，LIVE555 Streaming Media已經被許多知名媒體軟體（例如，VLC和MPlayer）所使用，以至於這個新發現的漏洞將使得數百萬使用者暴露在網路攻擊之下。

這個任意程式碼執行漏洞被追蹤為CVE-2018-4013，存在於LIVE555 RTSP伺服器庫的HTTP資料包解析函式中。該函式通過HTTP解析HTTP報頭，以便在RTSP上進行隧道傳輸。

“一個特製的資料包可能會導致基於堆疊的緩衝區溢位，進而導致任意程式碼執行。”思科Talos在其安全公告中稱，“攻擊者可以傳送這樣一個數據包來觸發此漏洞。”

根據Talos團隊的說法，想要成功利用這個漏洞，攻擊者只需要建立一個包含多個“Accept:”或“x-sessioncookie”字串的資料包並將其傳送給受該漏洞影響的應用程式即可，這將觸發“lookForHeader”函式中的堆疊緩衝區溢位，進而導致任意程式碼執行。

Talos團隊表示，該漏洞目前已經在Live Networks LIVE555 Media Server版本0.92中得到確認，但他們認為一些早期版本也可能受其影響。

在10月10日，Talos團隊就這個漏洞向Live Networks Inc.進行了通報，並在10月17日供應商釋出安全補丁之後，於10月18日對漏洞進行了公開披露。