VideoLAN VLC Media Playerの複数の脆弱性

説明

VideoLAN VLC Media Playerに複数の深刻な脆弱性が発見されました。悪意のあるユーザーは、これらの脆弱性を悪用してサービス拒否を引き起こしたり、任意のコードを実行する可能性があります。

以下に、脆弱性の完全な一覧を示します。

1. CreateHtmlSubtitleとParseJSSのヒープ・アウト・オブ・バウンド・リードは、特別に設計された字幕ファイルによって悪用される可能性があります。
2. Parse JSSの潜在的なヒープベースのバッファオーバーフローは、特別に設計された字幕ファイルによって悪用され、任意のコードを実行できます。
3. ParseJSSのヒープ・アウト・オブ・バウンド・リードは、特別に設計された字幕ファイルを介して悪用される可能性があり、サービス拒否を引き起こす可能性があります。

---

技術的な詳細

脆弱性（1）は文字列終了のチェッ​​クがないために存在し、割り当てられたメモリを超えてデータを読み取ることを可能にします。

脆弱性（2）は、入力文字列にNULL終端文字をスキップするために存在します。

文字列の長さのチェックが欠落しているため、脆弱性（3）が存在します。

オリジナルアドバイザリー

• git.videolan.org CVE-2017-8312 confirm

• git.videolan.org CVE-2017-8311 confirm
• git.videolan.org CVE-2017-8313 confirm
• git.videolan.org CVE-2017-8310 confirm

CVEリスト

も参照してください

お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com