Risque
- Exécution de code arbitraire
Systèmes affectés
VLC versions inférieures à 2.0.1.
Résumé
Deux vulnérabilités ont été corrigées dans VLC. Elles permettent à un attaquant d'exécuter du code arbitraire au moyen d'un fichier média spécialement conçu.
Description
La première vulnérabilité (CVE-2012-1775) concerne la gestion des fichiers MMS. La seconde (CVE-2012-1776) concerne la gestion des flux vidéo au format RTSP. Dans les deux cas, une personne malveillante peut exécuter du code arbitraire avec les permissions d'un utilisateur si celui-ci ouvre un fichier spécialement conçu.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité VideoLAN-SA-1201 de mars 2012 http://www.videolan.org/security/sa1201.html
- Bulletin de sécurité VideoLAN-SA-1202 de mars 2012 http://www.videolan.org/security/sa1202.html
- Référence CVE CVE-2012-1775 https://www.cve.org/CVERecord?id=CVE-2012-1775
- Référence CVE CVE-2012-1776 https://www.cve.org/CVERecord?id=CVE-2012-1776