Vigil@nce : VLC, deux buffer overflows
novembre 2008 par Marc Jacob
SYNTHÈSE
Un attaquant peut créer un fichier malformé afin de mener un déni
de service ou de faire exécuter du code sur la machine des
utilisateurs de VLC.
Gravité : 2/4
Conséquences : accès/droits utilisateur
Provenance : document
Moyen d’attaque : 1 attaque
Compétence de l’attaquant : technicien (2/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Nombre de vulnérabilités dans ce bulletin : 2
Date création : 06/11/2008
Date révision : 10/11/2008
PRODUITS CONCERNÉS
– Unix - plateforme
DESCRIPTION
Le programme VideoLAN VLC affiche des documents multimédia. Il
comporte deux vulnérabilités.
Un attaquant peut créer un fichier RealText de sous-titres afin de
provoquer un buffer overflow dans libsubtitle_plugin. [grav:2/4 ;
TKADV2008-011]
Les fichiers CUE indiquent le nom de l’artiste et les titres de
l’oeuvre d’un dvd. Un fichier CUE illicite provoque un buffer
overflow dans libvcd_plugin. [grav:2/4 ; TKADV2008-012]
Un attaquant peut donc créer un fichier malformé afin de mener un
déni de service ou de faire exécuter du code sur la machine des
utilisateurs de VLC.
CARACTÉRISTIQUES
Références : BID-32125, TKADV2008-011, TKADV2008-012,
VideoLAN-SA-0810, VIGILANCE-VUL-8226