Sikkerhedsoplysninger / 2011 / Sikkerhedsoplysninger -- DSA-2218-1 vlc

Debians sikkerhedsbulletin

DSA-2218-1 vlc -- heap-baseret bufferoverløb

Rapporteret den:

12. apr 2011

Berørte pakker:

vlc

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

Der er pt. ingen tilgængelige eksterne sikkerhedsreferencer i andre databaser.

Yderligere oplysninger:

Aliz Hammond opdagede at MP4-dekoderpluginen i VLC, en multimedieafspiller og -streamer, var sårbar over for et heap-baseret bufferoverløb. Det skyldes at en forkert datatype blev anvendt i en størrelsesberegning. En angriber kunne anvende fejlen til at narre et offer til at åbne en særligt fremstillet MP4-fil og muligvis udføre vilkårlig kode eller få medieafspilleren til at gå ned.

Den gamle stabile distribution (lenny) er ikke påvirket af dette problem.

I den stabile distribution (squeeze), er dette problem rettet i version 1.1.3-1squeeze5.

I distributionen testing (wheezy), vil dette problem snart blive rettet.

I den ustabile distribution (sid), er dette problem rettet i version 1.1.8-3.

Vi anbefaler at du opgraderer dine vlc-pakker.