Luigi Auriemma, Alin Rad Pop, Rémi Denis-Courmont, Quovodis, Guido Landi, Felipe Manzano, Anibal Sacco ほかの方により、動画再生および ストリーミングアプリケーション vlc に様々な欠陥が発見されました。最悪の 場合、これらの欠陥により、リモートの、認証を受けていない攻撃者が vlc を 実行しているユーザの権限で任意のコードの実行を許します。
The Common Vulnerabilities and Exposures project は以下の問題を認識して います。
字幕処理にバッファオーバフローがあり、悪意を持って細工された MicroDVD, SSA および VplayerA 形式のファイルを開くことで任意のコード が実行可能です。
vlc アプリケーションのHTTP ベースのリモートコントロール機能にフォー マット文字列バグがあり、認証を受けていない攻撃者が任意のコードを実行 可能です。
安全でない引数の検証のため、悪意を持って細工された M3U プレイリスト や MP3 オーディオファイルを用いて、vlc を実行したユーザから書き込み 可能な任意のファイルの上書きが可能です。
RTSP ストリームおよびセッション記述プロトコル (SDP) 処理にヒープバッ ファオーバフローがあり、悪意を持って細工された RTSP ストリームを再生 することによって任意のコードが実行可能です。
SDP 処理で整数の範囲チェックが不十分なため、悪意を持って細工された SDP ストリーム ID パラメータを持つ RTSP ストリームを用いて任意のコー ドが実行可能です。
MP4 demuxer 処理で整数の範囲チェックが不十分なため、悪意を持って細工 された MP4 ファイルを用いて、任意のメモリの上書きや、任意のコードの実 行が可能です。
MP4 処理に整数オーバフローがあり、リモートの攻撃者が悪意を持って細工 された MP4 ファイルを用いてヒープオーバフローを引き起こし、クラッシュ や任意のコードの実行が可能です。
安定版 (stable) ディストリビューション (etch) では、これらの問題はバージ ョン 0.8.6-svn20061012.debian-5.1+etch2 で修正されています。
不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバー ジョン 0.8.6.e-2 で修正されています。
直ぐに vlc パッケージをアップグレードすることを勧めます。
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。