Popis
V přehrávači VideoLAN VLC Media Player bylo nalezeno několik závažných chyb. Škodlivé uživatele mohou tyto chyby zabezpečení zneužít, aby způsobily odmítnutí služby nebo spuštění libovolného kódu.
Níže je uveden kompletní seznam chyb zabezpečení:
- Hromadné čtení v CreateHtmlSubtitle a ParseJSS lze využít prostřednictvím speciálně vytvořeného souboru titulků, který může způsobit odmítnutí služby;
- Potenciální přetečení vyrovnávací paměti založené na hromadě v Parse JSS lze využít prostřednictvím speciálně vytvořeného souboru titulků pro spuštění libovolného kódu;
- Hromadné čtení v ParseJSS může být využito prostřednictvím speciálně vytvořeného souboru titulků, který může způsobit odmítnutí služby.
Technické údaje
Chyby zabezpečení (1) existují kvůli chybějící kontrole ukončení řetězce a umožňují čtení dat mimo přidělenou paměť.
Chyba zabezpečení (2) existuje kvůli přeskakování terminátoru NULL ve vstupních řetězcích.
Chyba zabezpečení (3) existuje, protože chybí kontrola délky řetězce.
Oficiální doporučení
- git.videolan.org CVE-2017-8311 confirm
- git.videolan.org CVE-2017-8313 confirm
- git.videolan.org CVE-2017-8310 confirm
Související produkty
seznam CVE
Zobrazit více
Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com
Našli jste v popisu této chyby zabezpečení nepřesnost? Dej nám vědět!