brainslicer Postad 27 Februari , 2008 Rapport Postad 27 Februari , 2008 http://www.videolan.org/security/sa0802.html Security Advisory 0802 Summary : Arbitrary memory overwrite in the MP4 demuxer Date : 8 February 2008 Affected versions : VLC media player 0.8.6d and earlier ID : VideoLAN-SA-0802, CORE-2008-0130 CVE reference : CVE-2008-???? Details VLC media player's MPEG-4 file format parser (a.k.a. the MP4 demuxer) suffers from an arbitrary memory overwrite vulnerability when using specially crafted (invalid) MP4 input files. Impact If successful, a malicious third party could trigger execution of arbitrary code within the context of the VLC media player, or otherwise crash the player instance. Threat mitigation Exploitation of the MP4 demuxer problem requires the user to explicitly open a specially crafted file. Workarounds The user should refrain from opening files from untrusted third parties or accessing untrusted Web sites (or disable the VLC browser plugins), until the patch is applied. Solution VLC media player 0.8.6e addresses these issues and introduces further usability fixes. The source code patch can be downloaded separately here: vlc-0.8.6-CORE-2008-0130.patch. Pre-compiled packages will be available at the usual download locations shortly. Credits Felipe Manzano and Anibal Sacco from Core Security Technologies are credited with the discovery of this security issue. References Core Security Technologieshttp://www.coresecurity.com/ The VideoLAN Projecthttp://www.videolan.org/ History Pending VLC 0.8.6e bugfix release Public disclosure 7 February 2008 Source code fixes for VLC 0.8.6d and development tree Vendor obtained vulnerability description 6 February 2008 Vendor notified of security problem Rémi Denis-Courmont, on behalf of the VideoLAN project Citera
struve Postad 27 Februari , 2008 Rapport Postad 27 Februari , 2008 Tack för denna varningen. Det har ju hänt att man öppnat diverse skumma filer med VLC om man säger så. Citera
brainslicer Postad 18 Mars , 2008 Författare Rapport Postad 18 Mars , 2008 Skadlig kod kan köras | 2008-03-18 13:35 Undertexter till VLC kritisk säkerhetslucka Speciellt utformade undertextfiler till den populära videospelaren VLC gör att angripare kan köra skadlig kod på användarens dator, oavsett om datorn kör Windows, BSD eller Mac OS. Den skadliga koden kapslas in i själva undertextfilen och kan med hjälp av säkerhetsluckan, som är en buffertöverfyllning, användas för att stjäla information eller ställa till skada. Felet upptäcktes redan innan den senaste uppdateringen av VLC men har inte rättats till i version 0.8.6e, som släpptes i februari, enligt en säkerhetsvarning. Problemet gäller spelaren för Windows, Mac OS X och BSD, men även andra operativsystem kan vara påverkade. Undertexter för filer som sprids på nätet har blivit mer populära i samma takt som fildelning och en mängd webbplatser, i vissa fall med oklart ursprung, erbjuder nu undertexter för så väl tv-serier som långfilmer. VLC är ett gratisprogram som bygger på öppen källkod och klarar av att spela upp de flesta videoformat. edit: VLC Media Player Multiple Vulnerabilities Citera
brainslicer Postad 25 Mars , 2008 Författare Rapport Postad 25 Mars , 2008 VLC Media Player "MP4_ReadBox_rdrf()" Buffer Overflow Vulnerability - Highly critical - From remote Issued 5 hours ago. A vulnerability has been reported in VLC Media Player, which potentially can be exploited by malicious people to compromise a user's system. Safari Address Bar Spoofing and Memory Corruption Vulnerabilities - Highly critical - From remote Issued 1 day ago. Juan Pablo Lopez Yacubian has discovered two vulnerabilities in Safari, which can be exploited by malicious people to conduct spoofing attacks or potentially compromise a user's system. Citera
hajen Postad 25 Mars , 2008 Rapport Postad 25 Mars , 2008 Om man nu inte vill köra VLC rekommenderas CCCP. Det klarar det mesta med mediaplayer classic och zoom http://en.wikipedia.org/wiki/Combined_Community_Codec_Pack http://www.cccp-project.net/ Citera
Metaddict Postad 25 Mars , 2008 Rapport Postad 25 Mars , 2008 Hade missat detta helt. Tack för upplysningen. Citera
brainslicer Postad 25 Mars , 2008 Författare Rapport Postad 25 Mars , 2008 Om man nu inte vill köra VLC rekommenderas CCCP. Det klarar det mesta med mediaplayer classic och zoom Nu är det inte så enkelt som att bara rymma till andra mjukvaror...när dom man använder drabbas av sårbarheter http://secunia.com/product/14824/?task=advisories Media Player Classic 6.x. Currently, 100% (2 out of 2) are marked as Unpatched with the most severe being rated Highly critical http://secunia.com/product/16542/?task=advisories Zoom Player 5.x. Currently, 100% (1 out of 1) are marked as Unpatched with the most severe being rated Highly critical I ärlighetens namn så fixar VLC sina problem väldigt snabbt, vilket inte kan sägas om ovanstående spelare som ingår CCCP, 3-6 månader gamla sårbarheter Unpatched edit: till Media Player Classic lär det inte komma några fixar heller: http://secunia.com/advisories/26806/ Solution:The original version is no longer maintained and an official fix is not available. Citera
hajen Postad 26 Mars , 2008 Rapport Postad 26 Mars , 2008 Brainslicer Jasså det var så illa där med Citera
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.