VLC Media Player < 1.1.6 多個弱點
high Nessus Plugin ID 51772
語系:
概要
遠端 Windows 主機上有一個受到多個弱點影響的 Media Player。說明
遠端主機上安裝的 VLC Media Player 版本比 1.1.6 舊。報告指出這些版本會受到下列弱點的影響:- 存在一個整數溢位弱點,這是因未正確剖析 Real Media 的標頭所導致,其隨後可觸發堆積型緩衝區溢位。目前仍未知此問題是否可遭惡意利用來執行任意程式碼。(CVE-2010-3907)
- CDG 解碼器中有兩個堆積損毀弱點,這是因未驗證堆積中靜態大小陣列的索引所導致,其可允許任意程式碼執行。(CVE-2011-0021)
- USF 和 Text 解碼器中的「StripTags()」函式可能在開頭為「<」字元,但結尾沒有對應之「>」字元的 MKV 檔案中,掃描超過字幕結尾,會導致堆積記憶體損毀。(CVE-2011-0522)
解決方案
升級至 VLC Media Player 1.1.6 或更新版本。另請參閱
http://www.nessus.org/u?0c2a0870
http://www.videolan.org/security/sa1007.html
http://www.nessus.org/u?24b9825d
Plugin 詳細資訊
嚴重性: High
ID: 51772
檔案名稱: vlc_1_1_6.nasl
版本: 1.11
類型: local
代理程式: windows
系列: Windows
已發布: 2011/1/27
已更新: 2018/8/6
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: High
分數: 7.4
CVSS v2
風險因素: High
基本分數: 9.3
時間分數: 7.7
媒介: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
弱點資訊
CPE: cpe:/a:videolan:vlc_media_player
必要的 KB 項目: SMB/VLC/Version
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2011/1/23
弱點發布日期: 2011/1/25
可惡意利用
CANVAS (White_Phosphorus)