VLC Player sérülékenység
Angol cím: VideoLAN VLC Heap Based Buffer Overflow Vulnerability
CH azonosító: CH-14667
Publikálás dátuma: 2019.07.23.
Utolsó módosítás dátuma: 2019.07.25.
Leírás
A VideoLAN VLC media player 3.0.7.1 sérülékenysége vált ismertté, amelynek kihasználásával kártékony kódok futtatása lehetséges.
Leírás forrása: Egyéb referencia: nvd.nist.gov Leírás utolsó módosítása: 2019.07.25.Elemzés leírás
Puffer túlcsordulást előidézve lehetővé válik tetszőleges kód futtatása, illetve fájlok manipulálása.
Érintett verzió:
VideoLAN VLC media player 3.0.7.1, nem megerősített információk szerint egyes korábbi verziók is érintettek lehetnek.
Megoldás:
Az érintett verzió használatának mellőzése, illetve a későbbiekben megjelenő újabb verzióra frissítés.
Frissítés:
A gyártó által kiadott információ szerint a hibát okozó libebml modul a VLC Player 3.0.3-as verziója óta ki lett javítva. A sérülékenység besorolása a 9.8-as kritikus szintről 5.5-re közepes szintűre módosult, mivel a gyártó szerint az áldozat közreműködése is szükséges a hiba kihasználásához.
A programot fejlesztő VideoLAN közleménye:
“A VLC nem sérülékeny. A hibát harmadik fél által kiadott libecml modul okozza, amely több, mint 16 hónappal ezelőtt javításra került. A VLC 3.0.3-as kiadása óta az alkalmazás a javított verziót tartalmazza.”
Elemzés leírás forrása: Egyéb referencia: www.securityfocus.comHatás
CVSS3 Súlyosság és Metrika
Alap pontszám: 5.5 (Közepes)
Vektor: AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
Hatás pontszáma: 3.6
Kihasználhatóság pontszáma: 1.8
Támadás Vektora (AV): Helyi
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Szükséges
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Nincs
Sértetlenség Hatása (I): Nincs
Rendelkezésre állás Hatása (A):
CVSS2 Súlyosság és Metrika
Alap pontszám: 4.3 (Közepes)
Vektor: (AV:N/AC:M/Au:N/C:N/I:N/A:P)
Hatás alpontszáma: 2.9
Kihasználhatóság alpontszáma: 8.6
Hozzáférés Komplexitása (AC): Közepes
Bizalmasság Hatása (C): Nincs
Sértetlenség Hatása (S): Nincs
Rendelkezésre állás Hatása (A):
Hivatkozások
CVE-2019-13615 - NVD CVE-2019-13615
Egyéb referencia: www.welivesecurity.com
Egyéb referencia: nvd.nist.gov
Egyéb referencia: www.securityfocus.com
Gyártói referencia: twitter.com