VLC Player sérülékenység

VLC Player sérülékenység
Angol cím: VideoLAN VLC Heap Based Buffer Overflow Vulnerability

CH azonosító: CH-14667
Publikálás dátuma: 2019.07.23.
Utolsó módosítás dátuma: 2019.07.25.

Leírás

A VideoLAN VLC media player 3.0.7.1 sérülékenysége vált ismertté, amelynek kihasználásával kártékony kódok futtatása lehetséges.

Leírás forrása: Egyéb referencia: nvd.nist.gov Leírás utolsó módosítása: 2019.07.25.

Elemzés leírás

Puffer túlcsordulást előidézve lehetővé válik tetszőleges kód futtatása, illetve fájlok manipulálása.

Érintett verzió:

VideoLAN VLC media player 3.0.7.1, nem megerősített információk szerint egyes korábbi verziók is érintettek lehetnek.

Megoldás:

Az érintett verzió használatának mellőzése, illetve a későbbiekben megjelenő újabb verzióra frissítés.

Frissítés:

A gyártó által kiadott információ szerint a hibát okozó libebml modul a VLC Player 3.0.3-as verziója óta ki lett javítva. A sérülékenység besorolása a 9.8-as kritikus szintről 5.5-re közepes szintűre módosult, mivel a gyártó szerint az áldozat közreműködése is szükséges a hiba kihasználásához.

A programot fejlesztő VideoLAN közleménye:

“A VLC nem sérülékeny. A hibát harmadik fél által kiadott libecml modul okozza, amely több, mint 16 hónappal ezelőtt javításra került. A VLC 3.0.3-as kiadása óta az alkalmazás a javított verziót tartalmazza.”

Elemzés leírás forrása: Egyéb referencia: www.securityfocus.com

Hatás

CVSS3 Súlyosság és Metrika

Alap pontszám: 5.5 (Közepes)
Vektor: AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
Hatás pontszáma: 3.6
Kihasználhatóság pontszáma: 1.8

Támadás Vektora (AV): Helyi
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Szükséges
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Nincs
Sértetlenség Hatása (I): Nincs
Rendelkezésre állás Hatása (A):