Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

XMCO : Compromission d’une machine implémentant VLC via une playlist malicieuse

octobre 2008 par XMCO PARTNERS

VLC MEDIA PLAYER XSPF MEMORY CORRUPTION

- Date : 15 Octobre 2008

- Plateforme : Windows

- Programme : VLC media player

- Gravité : Elevée

- Exploitation : Avec un fichier malicieux

- Dommages :

Accès au système
Déni de service

- Description :

Une vulnérabilité a été corrigée au sein du logiciel VLC Media player. Un pirate pouvait prendre le contrôle d’un système via l’ouverture d’un fichier malicieux.

La faille de sécurité est liée à une erreur de validation du paramètre "identifier" présent au sein de fichiers XSPF (playlist). En effet, la fonction "parse_track_node()" ne vérifie pas la longueur de ce paramètre. En incitant un utilisateur à ouvrir une playlist malformée, un pirate pouvait prendre le contrôle du système sous-jacent.

- Vulnérable :

* VLC media player 0.9.2

- Référence :

http://www.coresecurity.com/content/vlc-xspf-memory-corruption

- Correction :

Nous vous conseillons d’utiliser la version 0.9.3 disponible à l’adresse suivante : http://www.videolan.org/vlc/

- Lien extranet XMCO :

http://xmcopartners.com/veille/client/index.xmco?nv=1224062475




Voir les articles précédents

    

Voir les articles suivants