VLC Player sérülékenység

CH azonosító: CH-14667
Cím: VLC Player sérülékenység
Angol cím: VideoLAN VLC Heap Based Buffer Overflow Vulnerability

Publikálás dátuma: 2019.07.23.
Utolsó módosítás dátuma: 2019.07.25.


Leírás

A VideoLAN VLC media player 3.0.7.1 sérülékenysége vált ismertté, amelynek kihasználásával kártékony kódok futtatása lehetséges.


Leírás forrása: Egyéb referencia: nvd.nist.gov
Leírás utolsó módosítása: 2019.07.25.


Elemzés leírás

Puffer túlcsordulást előidézve lehetővé válik tetszőleges kód futtatása, illetve fájlok manipulálása.

Érintett verzió:

VideoLAN VLC media player 3.0.7.1, nem megerősített információk szerint egyes korábbi verziók is érintettek lehetnek.

Megoldás: 

Az érintett verzió használatának mellőzése, illetve a későbbiekben megjelenő újabb verzióra frissítés.

Frissítés:

A gyártó által kiadott információ szerint a hibát okozó libebml modul a VLC Player 3.0.3-as verziója óta ki lett javítva. A sérülékenység besorolása a 9.8-as kritikus szintről 5.5-re közepes szintűre módosult, mivel a gyártó szerint az áldozat közreműködése is szükséges a hiba kihasználásához.

A programot fejlesztő VideoLAN közleménye: 

“A VLC nem sérülékeny. A hibát harmadik fél által kiadott libecml modul okozza, amely több, mint 16 hónappal ezelőtt javításra került. A VLC 3.0.3-as kiadása óta az alkalmazás a javított verziót tartalmazza.”


Elemzés leírás forrása: Egyéb referencia: www.securityfocus.com


Hatás

CVSS3 Súlyosság és Metrika

Alap pontszám: 5.5 (Közepes)
Vektor: AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
Hatás pontszáma: 3.6
Kihasználhatóság pontszáma: 1.8


Támadás Vektora (AV): Helyi
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Szükséges
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Nincs
Sértetlenség Hatása (I): Nincs
Rendelkezésre állás Hatása (A): Magas

CVSS2 Súlyosság és Metrika

Alap pontszám: 4.3 (Közepes)
Vektor: (AV:N/AC:M/Au:N/C:N/I:N/A:P)
Hatás alpontszáma: 2.9
Kihasználhatóság alpontszáma: 8.6


Hozzáférés Komplexitása (AC): Közepes
Bizalmasság Hatása (C): Nincs
Sértetlenség Hatása (S): Nincs
Rendelkezésre állás Hatása (A):


Hivatkozások

CVE-2019-13615 - NVD CVE-2019-13615
Egyéb referencia: www.welivesecurity.com
Egyéb referencia: nvd.nist.gov
Egyéb referencia: www.securityfocus.com
Gyártói referencia: twitter.com