Risques
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
VLC versions 0.8.6g et antérieures.
Résumé
De multiples vulnérabilités dans VLC permettent de réaliser un déni de service ou d'exécuter du code arbitraire à distance.
Description
VLC intègre des versions vulnérables de GnuTLS, de libgcrypt (CVE-2008-1948, CVE-2008-1949 et CVE-2008-1950) et de libxml2 (CVE-2007-6284) pour Windows et Mac OS X.
L'exploitation de ces vulnérabilités (traitées par les avis CERTA-2008-AVI-022 et CERTA-2008-AVI-262) permet de réaliser un déni de service ou d'exécuter du code arbitraire à distance.
Solution
Mettre à jour VLC en version 0.8.6h.
Documentation
- Avis CERTA-2008-AVI-022 : http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-022/
- Avis CERTA-2008-AVI-262 : http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-262/
- Notes de changement de version VLC 0.8.6h : http://wiki.videolan.org/Changelog/0.8.6h
- Téléchargement de VLC : http://www.videolan.org/vlc/
- Référence CVE CVE-2007-6284 https://www.cve.org/CVERecord?id=CVE-2007-6284
- Référence CVE CVE-2008-1948 https://www.cve.org/CVERecord?id=CVE-2008-1948
- Référence CVE CVE-2008-1949 https://www.cve.org/CVERecord?id=CVE-2008-1949
- Référence CVE CVE-2008-1950 https://www.cve.org/CVERecord?id=CVE-2008-1950
