Vulnérabilité dans le lecteur multimédia VLC

CVE-2020-26664 [Score CVSS v3 : 7.8] : Une vulnérabilité dans la fonction EbmlTypeDispatcher::send dans le logiciel VLC media player a été corrigée. Elle peut permettre à un attaquant local et non-authentifié de provoquer un débordement de tas  via un fichier .mkv spécialement conçu. Une exploitation réussie peut potentiellement permettre à l’attaquant de provoquer un déni de service sur le logiciel, d’injecter du code arbitraire et d’accéder à des données sensibles.

Informations
+

Risques

  • Déni de service

  • Expositions de données

  • Injection de code arbitraire

Criticité

  • Score CVSS v3 : 7.8

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement.

  • Néanmoins les détails techniques de la vulnérabilité sont disponibles, ce qui facilite grandement son exploitation :

https://gist.githubusercontent.com/henices/db11664dd45b9f322f8514d182aef5ea/raw/d56940c8bf211992bf4f3309a85bb2b69383e511/CVE-2020-26664.txt

Composants vulnérables

  • VLC v3.0.11

CVE


Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre à jour VLC vers la version 3.0.12

Solution de contournement

  • Aucune solution de contournement n’est proposée publiquement à l'heure actuelle.