Risque
- Exécution de code arbitraire à distance
Systèmes affectés
MPlayer version 1.0pre5.
Description
Trois vulnérabilités ont été découvertes dans le lecteur vidéo MPlayer.
La première vulnérabilité nécessite la connexion à un serveur malicieux. En incitant un utilisateur à se connecter à un tel serveur, il est possible d'exécuter du code arbitraire à distance.
Les deux autres vulnérabilités permettent, par le biais d'un fichier habilement constitué, l'exécution de code arbitraire à distance avec les droits de l'utilisateur qui visualise le fichier.
Solution
Se référer au site de MPlayer pour l'obtention des correctifs (cf. section Documentation)
Documentation
- Bulletin de sécurité 166 d'iDefense du 16 décembre 2004 : http://www.idefense.com/application/poi/display?id=166&type=vulnerabilities
- Bulletin de sécurité 167 d'iDefense du 16 décembre 2004 : http://www.idefense.com/application/poi/display?id=167&type=vulnerabilities
- Bulletin de sécurité 168 d'iDefense du 16 décembre 2004 : http://www.idefense.com/application/poi/display?id=168&type=vulnerabilities
- Bulletin de sécurité FreeBSD "mplayer - multiple vulnerabilities" du 21 décembre 2004 : http://www.vuxml.org/freebsd/
- Bulletin de sécurité Gentoo GLSA-200412-21 du 20 décembre 2004 : http://www.gentoo.org/security/en/glsa/glsa-200412-21.xml
- Bulletin de sécurité Mandrake MDKSA-2004:157 du 22 décembre 2004 : http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:157
- Bulletin de sécurité OpenBSD "mplayer - multiple overflow vulnerabilites" du 22 décembre 2004 : http://www.vuxml.org/openbsd/
- Site Internet de MPlayer : http://www.mplayerhq.hu