La semaine dernière, une mouture 0.9.6 de VLC media player a été mise en ligne mais étrangement, la version dévolue à Windows manquait à l'appel, pour ce qui reste une version de maintenance. Un petit délai aujourd'hui comblé et ce sont donc deux vulnérabilités qualifiées de " hautement critiques " par Secunia qui sont corrigées.
Ces deux vulnérabilités affectant les versions 0.5.0 à 0.9.5 de VLC media player peuvent être exploitées pour l'exécution de code arbitraire via débordement de mémoire. Elles sont dues pour l'une à une erreur de traitement au niveau du fichiers cdrom.c (modules/acces/vcd/cdrom.c) avec des fichiers images CUE mal formés, et pour l'autre, à une erreur au niveau du fichier subtitle.c (modules/demux/subtitle.c) pour le traitement de fichiers de sous-titres RealText. L'exploitation de ces vulnérabilités est assujettie à l'ouverture d'un fichier par l'utilisateur.
A côté de ces corrections de sécurité, les notes de version annoncent aussi le support de nouveaux codecs audio, l'enregistrement des listes de lecture au format HTML.
Ces deux vulnérabilités affectant les versions 0.5.0 à 0.9.5 de VLC media player peuvent être exploitées pour l'exécution de code arbitraire via débordement de mémoire. Elles sont dues pour l'une à une erreur de traitement au niveau du fichiers cdrom.c (modules/acces/vcd/cdrom.c) avec des fichiers images CUE mal formés, et pour l'autre, à une erreur au niveau du fichier subtitle.c (modules/demux/subtitle.c) pour le traitement de fichiers de sous-titres RealText. L'exploitation de ces vulnérabilités est assujettie à l'ouverture d'un fichier par l'utilisateur.
A côté de ces corrections de sécurité, les notes de version annoncent aussi le support de nouveaux codecs audio, l'enregistrement des listes de lecture au format HTML.
