News
Avis du CERTA : Multiples vulnérabilités dans VLC Media Player
décembre 2007 par CERT-FR
1 Risque
Exécution de code arbitraire à distance.
2 Systèmes affectés
VLC Media Player version 0.8.6d et les versions antérieures.
3 Résumé
Des vulnérabilités affectant VLC Media Player ont été découvertes et permettent
d’exécuter du code arbitraire à distance.
4 Description
De multiples vulnérabilités dans VLC Media Player permettent d’exécuter du code
arbitraire à distance :
* des erreurs dans certaines fonctions entrant dans la gestion des
sous-titres peuvent provoquer un dépassement de la mémoire tampon ;
* une erreur dans l’interface web en écoute sur le port 8080 (désactivée par
défaut) peut être exploitée via une requête HTTP spécialement conçue.
5 Solution
Se référer au site de VLC pour l’obtention des correctifs (cf. section
Documentation).
Ce dernier est, à la date de rédaction de cet avis, uniquement disponible dans
la branche de développement de VLC.
Le CERTA tient à rappeler que les versions en cours de développement peuvent
comporter d’autres vulnérabilités et conseille l’utilisation d’un lecteur
alternatif en attendant que le correctif soit intégré dans la version stable du
logiciel.
6 Documentation
* Le site de la branche développement de VLC :
* L’actualité du projet VLC :
