Risque
- Exécution de code arbitraire à distance ;
- déni de service à distance ;
- contournement de la politique de sécurité.
Systèmes affectés
- libvorbis, pour les versions antérieures à 1.1.3.
Description
Plusieurs vulnérabilités ont été identifiées dans la bibliothèque libvorbis, dédiée au format multimédia Ogg Vorbis. Elles peuvent être exploitées par une personne malveillante sous la forme de fichier .oog spécialement construits, afin de perturber ou exécuter des commandes sur le système ayant une version vulnérable.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Page officiel du projet libvorbis :
http://xiph.org/vorbis/
- Bulletin de sécurité iSec Partners du 26 juillet 2007 :
http://www.isecpartners.com/advisories/2007-003-libvorbis.txt
- Référence CVE CVE-2007-4029 :
https://www.cve.org/CVERecord?id=CVE-2007-4029
- Référence CVE CVE-2007-4065 :
https://www.cve.org/CVERecord?id=CVE-2007-4065
- Référence CVE CVE-2007-4066 :
https://www.cve.org/CVERecord?id=CVE-2007-4066