Vigil@nce - VLC : déni de service via ID3v2
août 2010 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut inviter la victime à ouvrir un document MP3
illicite, afin de stopper VLC.
Gravité : 1/4
Date création : 12/08/2010
DESCRIPTION DE LA VULNÉRABILITÉ
Le programme VLC affiche les documents multimédia.
Le protocole ID3 permet d’ajouter des informations (auteur,
interprète, etc.) à un document audio MP3.
La fonction ReadMetaFromId3v2() du fichier
VLC/modules/meta_engine/taglib.cpp lit les champs ID3 version 2.
Cependant, cette fonction ne gère pas correctement les cas
d’erreur et déréférence un pointeur NULL.
Un attaquant peut donc inviter la victime à ouvrir un document MP3
illicite, afin de stopper VLC.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/VLC-deni-de-service-via-ID3v2-9844