Multiples vulnérabilités dans VLC
Date de publication :
De multiples vulnérabilités ont été corrigées dans VideoLAN VLC et publiées dans une annonce de sécurité par openSUSE. Un attaquant distant exploitant ces vulnérabilités peut provoquer un déni de service (plantage du programme) ou exécuter du code arbitraire via différents vecteurs d’attaque.
CVE-2019-14970, CVE-2019-14776 [Score CVSS v3 : 7.8] : Une vulnérabilité de type dépassement de tampon a été découverte dans VLC. Un attaquant distant exploitant cette vulnérabilité peut induire un impact non-spécifié via un fichier MKV spécialement conçu. L’exécution de code arbitraire constitue un impact potentiel de ce type de vulnérabilité, tout comme le déni de service via un plantage du programme.
CVE-2019-14777, CVE-2019-14778 [Score CVSS v3 : 7.8] : Une vulnérabilité de type “use-after-free” a été découverte dans VLC. Un attaquant distant exploitant cette vulnérabilité peut induire un impact non-spécifié via un fichier MKV spécialement conçu. L’exécution de code arbitraire constitue un impact potentiel de ce type de vulnérabilité, tout comme le déni de service via un plantage du programme.
CVE-2019-14535 [Score CVSS v3 : 7.8] : Une vulnérabilité causée par une division par zéro a été découverte dans VLC. Un attaquant distant exploitant cette vulnérabilité peut induire un impact non-spécifié via un fichier WMV spécialement conçu.
CVE-2019-14533 [Score CVSS v3 : 7.8] : Une vulnérabilité de type “use-after-free” a été découverte dans VLC. Un attaquant distant exploitant cette vulnérabilité peut induire un impact non-spécifié via un fichier vidéo spécialement conçu. L’exécution de code arbitraire constitue un impact potentiel de ce type de vulnérabilité, tout comme le déni de service via un plantage du programme.
CVE-2019-14498 [Score CVSS v3 : 7.8] : Une vulnérabilité causée par une division par zéro a été découverte dans VLC. Un attaquant distant exploitant cette vulnérabilité peut induire un impact non-spécifié via un fichier CAF spécialement conçu.
CVE-2019-14437, CVE-2019-14438 [Score CVSS v3 : 7.8] : Une vulnérabilité de type dépassement de tampon a été découverte dans VLC. Un attaquant distant exploitant cette vulnérabilité peut induire un impact non-spécifié via un fichier OGG spécialement conçu. L’exécution de code arbitraire constitue un impact potentiel de ce type de vulnérabilité, tout comme le déni de service via un plantage du programme.
CVE-2019-13962 [Score CVSS v3 : 9.8] : Une vulnérabilité de type dépassement de tampon a été découverte dans VLC. Un attaquant distant exploitant cette vulnérabilité peut induire un impact non-spécifié via un fichier vidéo spécialement conçu utilisant le codec AVC. L’exécution de code arbitraire constitue un impact potentiel de ce type de vulnérabilité, tout comme le déni de service via un plantage du programme.
CVE-2019-13602 [Score CVSS v3 : 8.8] : Une vulnérabilité de type “integer underflow” a été découverte dans VLC. Un attaquant distant exploitant cette vulnérabilité peut induire un déni de service via le plantage du programme, ainsi que d’autres impacts non-spécifiés via un fichier MP4 spécialement conçu.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
- Déni de service (plantage du programme)
- D’autres impacts non-détaillés peuvent également survenir
Criticité
- Score CVSS v3 : 9.8
Existence d’un code d’exploitation
- Aucune code d’exploitation n’est disponible publiquement à ce jour
Composants vulnérables
- VideoLAN VLC media player jusqu’à la version 3.0.7.1 (incluse)
CVE
- CVE-2019-14970
- CVE-2019-14776
- CVE-2019-14777
- CVE-2019-14778
- CVE-2019-14535
- CVE-2019-14533
- CVE-2019-14498
- CVE-2019-14437
- CVE-2019-14438
- CVE-2019-13962
- CVE-2019-13602
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour VLC vers une version supérieure à 3.0.7.1
Solution de contournement
Aucune solution de contournement n’est disponible