Vulnérabilités critiques dans VLC
Thursday, 27. December 2007, 11:57:31
Deux vulnérabilités critiques ont été reportées dans le logiciel de lecture multimédia VLC.
Celles-ci, bien que reportées et corrigées par un contributeur au projet dans une version alpha, sont bizarrement toujours présentes 6 mois après dans la toute dernière version 0.86d du logiciel.
La première faille concerne un buffer-overflow dans la gestion des fichiers de sous-titres qui permet l'exécution de code arbitraire à l'utilisation d'un fichier malveillant de ce type.
La seconde est présente dans la gestion du contrôle à distance du lecteur. Non-activé par défaut, cette fonctionnalité permet de le contrôler depuis n'importe quel terminal via internet ou un réseau local.
Néanmoins il est possible d'exécuter du code arbitraire en envoyant un argument "Connexion" spécialement malformé sur le port écouté par VLC (8080 par défaut).
Aucun correctif officiel n'est pour le moment disponible, il convient donc aux utilisateurs de VLC d'être particulièrement prudents vis-à-vis des fichiers de sous-titres et de désactiver le contrôle à distance du logiciel.
Consulter le bulletin d'alerte de Secunia
Celles-ci, bien que reportées et corrigées par un contributeur au projet dans une version alpha, sont bizarrement toujours présentes 6 mois après dans la toute dernière version 0.86d du logiciel.
La première faille concerne un buffer-overflow dans la gestion des fichiers de sous-titres qui permet l'exécution de code arbitraire à l'utilisation d'un fichier malveillant de ce type.
La seconde est présente dans la gestion du contrôle à distance du lecteur. Non-activé par défaut, cette fonctionnalité permet de le contrôler depuis n'importe quel terminal via internet ou un réseau local.
Néanmoins il est possible d'exécuter du code arbitraire en envoyant un argument "Connexion" spécialement malformé sur le port écouté par VLC (8080 par défaut).
Aucun correctif officiel n'est pour le moment disponible, il convient donc aux utilisateurs de VLC d'être particulièrement prudents vis-à-vis des fichiers de sous-titres et de désactiver le contrôle à distance du logiciel.
Consulter le bulletin d'alerte de Secunia
(55%)
WIDGETIZE