Objet: Vulnérabilités dans MPlayer

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

MPlayer version 1.0pre5.

Description

Trois vulnérabilités ont été découvertes dans le lecteur vidéo MPlayer.

La première vulnérabilité nécessite la connexion à un serveur malicieux. En incitant un utilisateur à se connecter à un tel serveur, il est possible d'exécuter du code arbitraire à distance.

Les deux autres vulnérabilités permettent, par le biais d'un fichier habilement constitué, l'exécution de code arbitraire à distance avec les droits de l'utilisateur qui visualise le fichier.

Solution

Se référer au site de MPlayer pour l'obtention des correctifs (cf. section Documentation)

Documentation

• Site Internet de MPlayer :

  http://www.mplayerhq.hu
  

• Bulletin de sécurité 166 d'iDefense du 16 décembre 2004 :

  http://www.idefense.com/application/poi/display?id=166&type=vulnerabilities
  

• Bulletin de sécurité 167 d'iDefense du 16 décembre 2004 :

  http://www.idefense.com/application/poi/display?id=167&type=vulnerabilities
  

• Bulletin de sécurité 168 d'iDefense du 16 décembre 2004 :

  http://www.idefense.com/application/poi/display?id=168&type=vulnerabilities
  

• Bulletin de sécurité Mandrake MDKSA-2004:157 du 22 décembre 2004 :

  http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:157
  

• Bulletin de sécurité Gentoo GLSA-200412-21 du 20 décembre 2004 :

  http://www.gentoo.org/security/en/glsa/glsa-200412-21.xml
  

• Bulletin de sécurité FreeBSD "mplayer - multiple vulnerabilities" du 21 décembre 2004 :

  http://www.vuxml.org/freebsd/
  

• Bulletin de sécurité OpenBSD "mplayer - multiple overflow vulnerabilites" du 22 décembre 2004 :

  http://www.vuxml.org/openbsd/
  

• Référence CVE CAN-2004-1309 :

  https://www.cve.org/CVERecord?id=CAN-2004-1309
  

• Référence CVE CAN-2004-1310 :

  https://www.cve.org/CVERecord?id=CAN-2004-1310
  

• Référence CVE CAN-2004-1311 :

  https://www.cve.org/CVERecord?id=CAN-2004-1311