CERT-FI haavoittuvuustiedote 072/2010

23.4.2010

Päivitys korjaa useita haavoittuvuuksia VLC media playeristä

Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - palvelunestohyökkäys	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

VLC media player on suosittu mediasoitinohjelmisto. VideoLAN-projekti on julkaissut ohjelmistoon päivityksen, joka korjaa useita eri mediaformaattien käsittelyyn liittyviä haavoittuvuuksia. Haavoittuvuudet liittyvät A/52-, DTS- ja MPEG-äänimuotojen, AVI-, ASF- ja Matroska (MKV) -videomuotojen, XSPF-soittolistojen, ZIP-pakkausformaatin sekä RTMP-videotietovirtojen käsittelyyn.

Haavoittuvuuksien avulla hyökkääjän on mahdollista suorittaa omaa ohjelmakoodiaan kohdejärjestelmässä käyttäjän oikeuksin houkuttelemalla käyttäjä avaamaan tietyllä tavalla muotoiltu mediatiedosto.

HAAVOITTUVAT OHJELMISTOT:

• VLC media player versiot 0.5.0 - 1.0.5
  

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva ohjelmisto korjattuihin versioihin (1.0.6 tai kehitysversio 1.1.0) valmistajan ohjeen mukaisesti. Ennen päivityksiä on syytä välttää muiden kuin luotettavasta lähteestä peräisin olevien tiedostojen avaamista.

LISÄTIETOA:

• http://www.videolan.org/security/sa1003.html
• CVE-2010-1441 CVE-2010-1442 CVE-2010-1443 CVE-2010-1444
• CVE-2010-1445

PÄIVITYSHISTORIA:

23.4.2010, kello 11.00: Julkaistu
29.4.2010, kello 5.58: Lisätty CVE-numerot

Sivua päivitetty 29.04.2010

Tulostusversio