A Nero Media Player M3U lejátszási lista puffer túlcsordulási sérülékenysége


2008. február 5. 23:00

CH azonosító

CH-970

Felfedezés dátuma

2008.02.05.

Súlyosság

Magas

Érintett rendszerek

Nero
Nero Media Player

Érintett verziók

Nero Nero Media Player 1.x

Összefoglaló

A Nero Media Playerben egy sérülékenységet fedeztek fel, melyet rosszindulatú támadók kihasználva kártékony kódot futtathatnak a felhasználó rendszerén.

Leírás

A Nero Media Playerben egy sérülékenységet fedeztek fel, melyet rosszindulatú támadók kihasználva kártékony kódot futtathatnak a felhasználó rendszerén.

A NeroMediaPlayer.exe határhibáját kihasználva az .M3U lejátszási listák betöltésekor, puffer túlcsordulás okozható,pl. egy túl hosszú URI stringet tartalmazó lista betöltésével.

Sikeres kihasználás esetén tetszőleges kód futtatható le.

A sérülékenységet az 1.4.0.35-ös verzióban igazolták. Más verziók is érintettek lehetnek.

Megoldás

Ne nyisson meg kétes eredetű .M3U fájlokat!

Támadás típusa

Input manipulation (Bemenet módosítás)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.milw0rm.com
SECUNIA 28765

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-21479 – Qualcomm Multiple Chipsets Incorrect Authorization sérülékenysége
CVE-2025-5419 – Google Chromium V8 Out-of-Bounds Read and Write sérülékenysége
CVE-2025-27038 – Qualcomm Multiple Chipsets Use-After-Free sérülékenysége
CVE-2025-21480 – Qualcomm Multiple Chipsets Incorrect Authorization sérülékenysége
CVE-2023-41348 – ASUS RT-AX55 sérülékenysége
CVE-2023-41347 – ASUS RT-AX55 sérülékenysége
CVE-2023-41346 – ASUS RT-AX55 sérülékenysége
CVE-2023-41345 – ASUS RT-AX55 sérülékenysége
CVE-2023-39780 – ASUS RT-AX55 Routers OS Command Injection sérülékenysége
Tovább a sérülékenységekhez »