Risque
- Exécution de code arbitraire à distance ;
- déni de service à distance.
Systèmes affectés
VLC versions 0.8.6g et antérieures.
Résumé
De multiples vulnérabilités dans VLC permettent de réaliser un déni de service ou d'exécuter du code arbitraire à distance.
Description
VLC intègre des versions vulnérables de GnuTLS, de libgcrypt (CVE-2008-1948, CVE-2008-1949 et CVE-2008-1950) et de libxml2 (CVE-2007-6284) pour Windows et Mac OS X.
L'exploitation de ces vulnérabilités (traitées par les avis CERTA-2008-AVI-022 et CERTA-2008-AVI-262) permet de réaliser un déni de service ou d'exécuter du code arbitraire à distance.
Solution
Mettre à jour VLC en version 0.8.6h.
Documentation
- Notes de changement de version VLC 0.8.6h :
http://wiki.videolan.org/Changelog/0.8.6h
- Téléchargement de VLC :
http://www.videolan.org/vlc/
- Avis CERTA-2008-AVI-022 :
http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-022/
- Avis CERTA-2008-AVI-262 :
http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-262/
- Référence CVE CVE-2007-6284 :
https://www.cve.org/CVERecord?id=CVE-2007-6284
- Référence CVE CVE-2008-1948 :
https://www.cve.org/CVERecord?id=CVE-2008-1948
- Référence CVE CVE-2008-1949 :
https://www.cve.org/CVERecord?id=CVE-2008-1949
- Référence CVE CVE-2008-1950 :
https://www.cve.org/CVERecord?id=CVE-2008-1950