VLC媒体播放器MP及Cinepak解码器缓冲区溢出漏洞

2008-04-25T00:00:00
ID SSV:3219
Type seebug
Reporter Root
Modified 2008-04-25T00:00:00

Description

BUGTRAQ ID: 28904,28903 CVE(CAN) ID: CVE-2008-1769,CVE-2008-1768

VLC Media Player是一款免费的媒体播放器。

VLC处理畸形格式的媒体文件时存在漏洞,如果用户受骗使用VLC播放器打开了特制的媒体文件或流媒体的话,就会在MP4和Cinepak解码器模块中触发缓冲区溢出,导致拒绝服务或执行任意指令。

VideoLAN VLC Media Player 0.8.6e Gentoo


Gentoo已经为此发布了一个安全公告(GLSA-200804-25)以及相应补丁: GLSA-200804-25:VLC: User-assisted execution of arbitrary code 链接:<a href=http://security.gentoo.org/glsa/glsa-200804-25.xml target=_blank>http://security.gentoo.org/glsa/glsa-200804-25.xml</a>

所有VLC用户都应升级到最新版本:

# emerge --sync
# emerge --ask --oneshot --verbose &quot;&gt;=media-video/vlc-0.8.6f&quot;

VideoLAN

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

<a href=http://www.videolan.org/mirror-geo.php?file=vlc/0.8.6f/win32/vlc-0.8.6f-win32.exe target=_blank>http://www.videolan.org/mirror-geo.php?file=vlc/0.8.6f/win32/vlc-0.8.6f-win32.exe</a> <a href=http://download.videolan.org/pub/videolan/vlc/0.8.6f/vlc-0.8.6f.tar.gz target=_blank>http://download.videolan.org/pub/videolan/vlc/0.8.6f/vlc-0.8.6f.tar.gz</a>