Avis du CERT-FR

Objet: Vulnérabilité dans VLC Media Player

Gestion du document

Référence	CERTA-2008-AVI-348
Titre	Vulnérabilité dans VLC Media Player
Date de la première version	04 juillet 2008
Date de la dernière version	04 juillet 2008
Source(s)	Note de version VLC 0.8.6i

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire à distance

Systèmes affectés

VLC Media Player version 0.8.6h et les versions antérieures.

Résumé

Une vulnérabilité affectant VLC Media player permet à une personne malveillante d'exécuter du code arbitraire à distance.

Description

Une erreur dans la fonction open() du module /modules/demux/wav.c permet une exécution de code arbitraire à distance via un fichier WAV spécialement conçu.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Note de version VLC 0.8.6i

http://www.videolan.org/developpers/vlc/NEWS

Référence CVE CVE-2008-2430

https://www.cve.org/CVERecord?id=CVE-2008-2430

Gestion détaillée du document

le 04 juillet 2008: version initiale.