Risque

Exécution de code arbitraire à distance.

Systèmes affectés

VLC Media Player version 0.8.6d et les versions antérieures.

Résumé

Des vulnérabilités affectant VLC Media Player ont été découvertes et permettent d'exécuter du code arbitraire à distance.

Description

De multiples vulnérabilités dans VLC Media Player permettent d'exécuter du code arbitraire à distance :

  • des erreurs dans certaines fonctions entrant dans la gestion des sous-titres peuvent provoquer un dépassement de la mémoire tampon ;
  • une erreur dans l'interface web en écoute sur le port 8080 (désactivée par défaut) peut être exploitée via une requête HTTP spécialement conçue.

Solution

Se référer au site de VLC pour l'obtention des correctifs (cf. section Documentation).

Ce dernier est, à la date de rédaction de cet avis, uniquement disponible dans la branche de développement de VLC.

Le CERTA tient à rappeler que les versions en cours de développement peuvent comporter d'autres vulnérabilités et conseille l'utilisation d'un lecteur alternatif en attendant que le correctif soit intégré dans la version stable du logiciel.

Documentation