XMCO : Compromission d’une machine implémentant VLC via une playlist malicieuse
octobre 2008 par XMCO PARTNERS
VLC MEDIA PLAYER XSPF MEMORY CORRUPTION
– Date : 15 Octobre 2008
– Plateforme : Windows
– Programme : VLC media player
– Gravité : Elevée
– Exploitation : Avec un fichier malicieux
– Dommages :
Accès au système
Déni de service
– Description :
Une vulnérabilité a été corrigée au sein du logiciel VLC Media player. Un pirate pouvait prendre le contrôle d’un système via l’ouverture d’un fichier malicieux.
La faille de sécurité est liée à une erreur de validation du paramètre "identifier" présent au sein de fichiers XSPF (playlist). En effet, la fonction "parse_track_node()" ne vérifie pas la longueur de ce paramètre. En incitant un utilisateur à ouvrir une playlist malformée, un pirate pouvait prendre le contrôle du système sous-jacent.
– Vulnérable :
* VLC media player 0.9.2
– Référence :
http://www.coresecurity.com/content/vlc-xspf-memory-corruption
– Correction :
Nous vous conseillons d’utiliser la version 0.9.3 disponible à l’adresse suivante :
http://www.videolan.org/vlc/
– Lien extranet XMCO :
http://xmcopartners.com/veille/client/index.xmco?nv=1224062475