Debians sikkerhedsbulletin
DSA-2218-1 vlc -- heap-baseret bufferoverløb
- Rapporteret den:
- 12. apr 2011
- Berørte pakker:
- vlc
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- Der er pt. ingen tilgængelige eksterne sikkerhedsreferencer i andre databaser.
- Yderligere oplysninger:
-
Aliz Hammond opdagede at MP4-dekoderpluginen i VLC, en multimedieafspiller og -streamer, var sårbar over for et heap-baseret bufferoverløb. Det skyldes at en forkert datatype blev anvendt i en størrelsesberegning. En angriber kunne anvende fejlen til at narre et offer til at åbne en særligt fremstillet MP4-fil og muligvis udføre vilkårlig kode eller få medieafspilleren til at gå ned.
Den gamle stabile distribution (lenny) er ikke påvirket af dette problem.
I den stabile distribution (squeeze), er dette problem rettet i version 1.1.3-1squeeze5.
I distributionen testing (wheezy), vil dette problem snart blive rettet.
I den ustabile distribution (sid), er dette problem rettet i version 1.1.8-3.
Vi anbefaler at du opgraderer dine vlc-pakker.