Navigation
L'actualité informatique et multimédia
Des failles de sécurité importantes dans VLC
M'sieur, m'sieur, ya pas assez de rustines !
M'sieur, m'sieur, ya pas assez de rustines !
Deux failles de sécurité relativement importantes ont été découvertes dans VLC, le fameux lecteur multimédia gratuit et open source.
La première faille a été découverte par Michal Luczaj, mais des informations supplémentaires ont été apportées ensuite par Luigi Auriemma. Elle concerne trois fonctions, « ParseMicroDvd() », « ParseSSA() » et « ParseVplayer() » qui sont utilisées pour la gestion des sous-titres. Mais elles peuvent être également employées pour mener le logiciel à un dépassement de mémoire tampon, et à une exposition de données sensibles.
L’autre faille a été découverte par Luigi Auriemma, et concerne un problème de format de chaînes de caractères dans l’interface web. Si l’écoute du port 8080 est active (elle ne l’est pas par défaut), une requête HTML spécifiquement conçue peut être utilisée pour provoquer une exécution de code arbitraire à distance.
Ces deux failles ont été trouvées dans la version 0.8.6d. La mouture « e » sortie récemment corrige le second problème, et une partie du premier seulement. Il est donc recommandé de migrer rapidement vers la dernière version, en attendant qu’une nouvelle évolution vienne corriger définitivement toutes les fonctions affectées. Il faudra pour cela mettre à jour la bibliothèque Xine dont une version quelque peu ancienne est utilisée.
Pour télécharger VLC 0.8.6e, il faut se rendre sur le site officiel.
La première faille a été découverte par Michal Luczaj, mais des informations supplémentaires ont été apportées ensuite par Luigi Auriemma. Elle concerne trois fonctions, « ParseMicroDvd() », « ParseSSA() » et « ParseVplayer() » qui sont utilisées pour la gestion des sous-titres. Mais elles peuvent être également employées pour mener le logiciel à un dépassement de mémoire tampon, et à une exposition de données sensibles.
L’autre faille a été découverte par Luigi Auriemma, et concerne un problème de format de chaînes de caractères dans l’interface web. Si l’écoute du port 8080 est active (elle ne l’est pas par défaut), une requête HTML spécifiquement conçue peut être utilisée pour provoquer une exécution de code arbitraire à distance.
Ces deux failles ont été trouvées dans la version 0.8.6d. La mouture « e » sortie récemment corrige le second problème, et une partie du premier seulement. Il est donc recommandé de migrer rapidement vers la dernière version, en attendant qu’une nouvelle évolution vienne corriger définitivement toutes les fonctions affectées. Il faudra pour cela mettre à jour la bibliothèque Xine dont une version quelque peu ancienne est utilisée.
Pour télécharger VLC 0.8.6e, il faut se rendre sur le site officiel.
Rédigée par le mercredi 19 mars 2008 à 10h55 (22603 lectures)
Source de l'INformation : Luigi Auriemma
Source de l'INformation : Luigi Auriemma
Le reste de l'actualité :
19-03-08 : Kingston sort ses DataTraveler HyperX, clés USB ultra rapides
19-03-08 : Jusqu'à 26 ans de prison pour Robert Soloway, le roi du spam
19-03-08 : 9800GX2 : Leadtek, et Point of View en France, XFX aussi
19-03-08 : Dessin : Nicolas Princen, la cyber oreille de l'Élysée
19-03-08 : Apple négocie un abonnement illimité pour iTunes
19-03-08 : Des failles de sécurité importantes dans VLC
19-03-08 : Étude Nec : un plus grand moniteur augmente la productivité
19-03-08 : Les PC Lenovo bientôt vendus dans les rayons d'Auchan
19-03-08 : DDR3 à 2 GHz pour 790i : Corsair, OCZ et Crucial sur le coup
19-03-08 : Mise à jour de sécurité importante pour Mac OS X
19-03-08 : Jusqu'à 26 ans de prison pour Robert Soloway, le roi du spam
19-03-08 : 9800GX2 : Leadtek, et Point of View en France, XFX aussi
19-03-08 : Dessin : Nicolas Princen, la cyber oreille de l'Élysée
19-03-08 : Apple négocie un abonnement illimité pour iTunes
19-03-08 : Des failles de sécurité importantes dans VLC
19-03-08 : Étude Nec : un plus grand moniteur augmente la productivité
19-03-08 : Les PC Lenovo bientôt vendus dans les rayons d'Auchan
19-03-08 : DDR3 à 2 GHz pour 790i : Corsair, OCZ et Crucial sur le coup
19-03-08 : Mise à jour de sécurité importante pour Mac OS X
Firefox 3.0 : restaurer l'ancienne barre d'adresse
Voilà, Firefox 3.0 est sorti, et vous vous êtes retrouvés...
Voilà, Firefox 3.0 est sorti, et vous vous êtes retrouvés...
Office : lire des documents Open XML sans Office 2007
Si vous recevez des documents au format Open XML, vous...
Si vous recevez des documents au format Open XML, vous...
Windows Media Player 11 en 64 bits par défaut sous Vista x64
La version 64 bits de Vista propose deux versions de...
La version 64 bits de Vista propose deux versions de...
© 2003 -2008 PC INpact SARL de presse. Tous droits réservés ! - Powered by PCI WebEngine - PCINpact.com est un site de PC INpact Network
Glossaire : A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
Toutes les marques citées sur PC INpact appartiennent à leurs propriétaires respectifs ! - Page valide XHTML 1, CSS -
- Générée en 0.0714 s - Top 100
Partenaires : Disque dur multimédia - Personnaliser Windows - Comparatif photo - Forum Science - Tom's Hardware - Sonneries et jeux pour mobiles - Test ADSL
Toutes les marques citées sur PC INpact appartiennent à leurs propriétaires respectifs ! - Page valide XHTML 1, CSS -
- Générée en 0.0714 s - Top 100Partenaires : Disque dur multimédia - Personnaliser Windows - Comparatif photo - Forum Science - Tom's Hardware - Sonneries et jeux pour mobiles - Test ADSL
