VLC Player sérülékenység

VLC Player sérülékenység
Angol cím: VideoLAN VLC Heap Based Buffer Overflow Vulnerability

CH azonosító: CH-14667
Publikálás dátuma: 2019.07.23.
Utolsó módosítás dátuma: 2019.07.25.

Leírás

A VideoLAN VLC media player 3.0.7.1 sérülékenysége vált ismertté, amelynek kihasználásával kártékony kódok futtatása lehetséges.

Leírás forrása: Egyéb referencia: nvd.nist.gov Leírás utolsó módosítása: 2019.07.25.

Elemzés leírás

Puffer túlcsordulást előidézve lehetővé válik tetszőleges kód futtatása, illetve fájlok manipulálása.

Érintett verzió:

VideoLAN VLC media player 3.0.7.1, nem megerősített információk szerint egyes korábbi verziók is érintettek lehetnek.

Megoldás: 

Az érintett verzió használatának mellőzése, illetve a későbbiekben megjelenő újabb verzióra frissítés.

Frissítés:

A gyártó által kiadott információ szerint a hibát okozó libebml modul a VLC Player 3.0.3-as verziója óta ki lett javítva. A sérülékenység besorolása a 9.8-as kritikus szintről 5.5-re közepes szintűre módosult, mivel a gyártó szerint az áldozat közreműködése is szükséges a hiba kihasználásához.

A programot fejlesztő VideoLAN közleménye: 

“A VLC nem sérülékeny. A hibát harmadik fél által kiadott libecml modul okozza, amely több, mint 16 hónappal ezelőtt javításra került. A VLC 3.0.3-as kiadása óta az alkalmazás a javított verziót tartalmazza.”

Elemzés leírás forrása: Egyéb referencia: www.securityfocus.com

Hatás

CVSS3 Súlyosság és Metrika

Base score: 5.5 (Közepes)
Vector: AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
Impact Score: 3.6
Exploitability Score: 1.8

Attack Vector (AV): Local
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): Required
Scope (S): Unchanged
Confidentiality Impact (C): None
Integrity Impact (I): None
Availability Impact (A):

CVSS2 Súlyosság és Metrika

Base score: 4.3 (Közepes)
Vector: (AV:N/AC:M/Au:N/C:N/I:N/A:P)
Impact Subscore: 2.9
Exploitability Subscore: 8.6

Access Complexity (AC): Medium
Confidentiality Impact (C): None
Integrity Impact (S): None
Availability Impact (A):

Hivatkozások

CVE-2019-13615 - NVD CVE-2019-13615
Egyéb referencia: www.welivesecurity.com
Egyéb referencia: nvd.nist.gov
Egyéb referencia: www.securityfocus.com
Gyártói referencia: twitter.com

Legfrissebb sérülékenységek
CVE-2023-20889 – VMware Aria Operations for Networks sérülékenysége
CVE-2023-20888 – VMware Aria Operations for Networks sérülékenysége
CVE-2023-20887 – VMware Aria Operations for Networks sérülékenysége
CVE-2023-20178 – Cisco AnyConnect Secure Mobility Client sérülékenysége
CVE-2023-3079 – Google Chrome sérülékenysége
CVE-2023-34362 – Progress MOVEit Transfer sérülékenysége
CVE-2023-33960 – OpenProject sérülékenysége
CVE-2023-32324 – OpenPrinting CUPS sérülékenysége
CVE-2023-28066 – Dell OS Recovery Tool sérülékenysége
CVE-2023-26278 – IBM QRadar WinCollect Agent sérülékenysége
Tovább a sérülékenységekhez »