Debians sikkerhedsbulletin

DSA-2218-1 vlc -- heap-baseret bufferoverløb

Rapporteret den:
12. apr 2011
Berørte pakker:
vlc
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
Der er pt. ingen tilgængelige eksterne sikkerhedsreferencer i andre databaser.
Yderligere oplysninger:

Aliz Hammond opdagede at MP4-dekoderpluginen i VLC, en multimedieafspiller og -streamer, var sårbar over for et heap-baseret bufferoverløb. Det skyldes at en forkert datatype blev anvendt i en størrelsesberegning. En angriber kunne anvende fejlen til at narre et offer til at åbne en særligt fremstillet MP4-fil og muligvis udføre vilkårlig kode eller få medieafspilleren til at gå ned.

Den gamle stabile distribution (lenny) er ikke påvirket af dette problem.

I den stabile distribution (squeeze), er dette problem rettet i version 1.1.3-1squeeze5.

I distributionen testing (wheezy), vil dette problem snart blive rettet.

I den ustabile distribution (sid), er dette problem rettet i version 1.1.8-3.

Vi anbefaler at du opgraderer dine vlc-pakker.