Risque
- Exécution de code arbitraire à distance
Systèmes affectés
VLC Media Player version 0.8.6d et les versions antérieures.
Résumé
Des vulnérabilités affectant VLC Media Player ont été découvertes et permettent d'exécuter du code arbitraire à distance.
Description
De multiples vulnérabilités dans VLC Media Player permettent d'exécuter du code arbitraire à distance :
- des erreurs dans certaines fonctions entrant dans la gestion des sous-titres peuvent provoquer un dépassement de la mémoire tampon ;
- une erreur dans l'interface web en écoute sur le port 8080 (désactivée par défaut) peut être exploitée via une requête HTTP spécialement conçue.
Solution
Se référer au site de VLC pour l'obtention des correctifs (cf. section Documentation).
Ce dernier est, à la date de rédaction de cet avis, uniquement disponible dans la branche de développement de VLC.
Le CERTA tient à rappeler que les versions en cours de développement peuvent comporter d'autres vulnérabilités et conseille l'utilisation d'un lecteur alternatif en attendant que le correctif soit intégré dans la version stable du logiciel.
Documentation
- L'actualité du projet VLC : http://www.videolan.org/news.html#news-1
- Le site de la branche développement de VLC : http://nightlies.videolan.org