Multiples vulnérabilités dans VLC
Date de publication :
De multiples vulnérabilités ont été corrigées dans VideoLAN VLC et publiées dans une annonce de sécurité par openSUSE. Un attaquant distant exploitant ces vulnérabilités peut provoquer un déni de service (plantage du programme) ou exécuter du code arbitraire via différents vecteurs d’attaque.
CVE-2019-14970, CVE-2019-14776 [Score CVSS v3 : 7.8] : Une vulnérabilité de type dépassement de tampon a été découverte dans VLC. Un attaquant distant exploitant cette vulnérabilité peut induire un impact non-spécifié via un fichier MKV spécialement conçu. L’exécution de code arbitraire constitue un impact potentiel de ce type de vulnérabilité, tout comme le déni de service via un plantage du programme.
CVE-2019-14777, CVE-2019-14778 [Score CVSS v3 : 7.8] : Une vulnérabilité de type “use-after-free” a été découverte dans VLC. Un attaquant distant exploitant cette vulnérabilité peut induire un impact non-spécifié via un fichier MKV spécialement conçu. L’exécution de code arbitraire constitue un impact potentiel de ce type de vulnérabilité, tout comme le déni de service via un plantage du programme.
CVE-2019-14535 [Score CVSS v3 : 7.8] : Une vulnérabilité causée par une division par zéro a été découverte dans VLC. Un attaquant distant exploitant cette vulnérabilité peut induire un impact non-spécifié via un fichier WMV spécialement conçu.
CVE-2019-14533 [Score CVSS v3 : 7.8] : Une vulnérabilité de type “use-after-free” a été découverte dans VLC. Un attaquant distant exploitant cette vulnérabilité peut induire un impact non-spécifié via un fichier vidéo spécialement conçu. L’exécution de code arbitraire constitue un impact potentiel de ce type de vulnérabilité, tout comme le déni de service via un plantage du programme.
CVE-2019-14498 [Score CVSS v3 : 7.8] : Une vulnérabilité causée par une division par zéro a été découverte dans VLC. Un attaquant distant exploitant cette vulnérabilité peut induire un impact non-spécifié via un fichier CAF spécialement conçu.
CVE-2019-14437, CVE-2019-14438 [Score CVSS v3 : 7.8] : Une vulnérabilité de type dépassement de tampon a été découverte dans VLC. Un attaquant distant exploitant cette vulnérabilité peut induire un impact non-spécifié via un fichier OGG spécialement conçu. L’exécution de code arbitraire constitue un impact potentiel de ce type de vulnérabilité, tout comme le déni de service via un plantage du programme.
CVE-2019-13962 [Score CVSS v3 : 9.8] : Une vulnérabilité de type dépassement de tampon a été découverte dans VLC. Un attaquant distant exploitant cette vulnérabilité peut induire un impact non-spécifié via un fichier vidéo spécialement conçu utilisant le codec AVC. L’exécution de code arbitraire constitue un impact potentiel de ce type de vulnérabilité, tout comme le déni de service via un plantage du programme.
CVE-2019-13602 [Score CVSS v3 : 8.8] : Une vulnérabilité de type “integer underflow” a été découverte dans VLC. Un attaquant distant exploitant cette vulnérabilité peut induire un déni de service via le plantage du programme, ainsi que d’autres impacts non-spécifiés via un fichier MP4 spécialement conçu.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Exécution de code arbitraire
Déni de service (plantage du programme)
D’autres impacts non-détaillés peuvent également survenir
Criticité
Score CVSS v3 : 9.8
Existence d’un code d’exploitation
Aucune code d’exploitation n’est disponible publiquement à ce jour
Composants vulnérables
VideoLAN VLC media player jusqu’à la version 3.0.7.1 (incluse)
CVE
CVE-2019-14970
CVE-2019-14776
CVE-2019-14777
CVE-2019-14778
CVE-2019-14535
CVE-2019-14533
CVE-2019-14498
CVE-2019-14437
CVE-2019-14438
CVE-2019-13962
CVE-2019-13602
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour VLC vers une version supérieure à 3.0.7.1
Solution de contournement
Aucune solution de contournement n’est disponible