VideoLAN a publié un bulletin de sécurité pour des failles dans VLC 3.0.6 et versions antérieures. Il est indiqué qu'un « utilisateur distant peut créer des fichiers avi ou mkv spécialement conçus qui, lorsqu'ils sont chargés par l'utilisateur cible, vont provoquer un débordement de la mémoire tampon ».
Leur exploitation nécessite qu'un utilisateur « ouvre explicitement un fichier ou un flux spécialement conçu ». Dans la première version du bulletin, il était indiqué qu' « ASLR et DEP aident à réduire les risques, mais peuvent être contournés », mention qui a disparu.
Le bulletin affirme que VLC 3.0.7 corrige ces failles, mais ce n'est pas tout. Lors de la mise à jour, une précision a été ajoutée : « Cette version corrige également un problème de sécurité important pouvant entraîner l'exécution de code lors de la lecture d'un fichier AAC ».
Il est, comme toujours, recommandé de mettre à jour le lecteur multimédia avec la dernière version disponible, la 3.0.7 en l'occurrence. Pour rappel, celle-ci corrige pas moins de 33 failles.
Commentaires (14)
#1
Juste non.
Y a 30+ failles que on a corrigé en 3.0.7, et ces 2 failles là sont plutôt dans le bas/milieu du panier.
La seconde, c’est MITRE qui fume totalement, en mettant un 9.8 à un double-free. Oui, ça peut crasher, mais non, ce n’est pas exploitable du tout, avec l’ASLR (et le HeASLR en 64bits).
Y a une faille en 3.0.7 qui est high, mais clairement aucune de ces 2 là.
#2
La conclusion est la même : il faut mettre à jour sans traîner
" />
Merci pour la précision, et pour le boulot sur le lecteur !
#3
Il faut toujours mettre à jour.
#4
bien sûr :-)
Petite question : vous utilisez des outils d’analyse de qualité de code pour identifier les éventuels problèmes ?
#5
Plein: statique, dynamique, code coverage, fuzzing.
#6
#7
non. Juste imprécise. Et c’est surtout parce qu’on arrive pas à discuter avec les gens de MITRE: on n’est pas assez gros pour avoir ce droit. Donc, c’est l’enfer à chaque faille…
#8
Heureusement qu’il y a MPC-HC.
#9
#10
Les vrais utilisent Windows Media Player avec les codecs qui vont bien.
#11
Realtek Media Player ou Quicktime player, largement plus performant et ergonomiques
/troll>
Sinon merci jb et l’équipe VLC pour tout votre travail !
#12
#13
Tout à fait, il n’y a jamais aucun bug dans libavcodec, ils sont tous dus à VLC.
#14
Pour moi, les 2 sont medium.
Y a une faille high dans la 3.0.6, qui est dûe à une dépendance, qui est un OOB write.