Vulnérabilité dans le lecteur multimédia VLC

Date de publication : 29/09/2022

CVE-2020-26664[Score CVSS v3 : 7.8] : Une vulnérabilité dans la fonction EbmlTypeDispatcher::send dans le logiciel VLC media player a été corrigée. Elle peut permettre à un attaquant local et non-authentifié de provoquer un débordement de tas via un fichier .mkv spécialement conçu. Une exploitation réussie peut potentiellement permettre à l’attaquant de provoquer un déni de service sur le logiciel, d’injecter du code arbitraire et d’accéder à des données sensibles.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Déni de service
Expositions de données
Injection de code arbitraire

Criticité

Score CVSS v3 : 7.8

Existence d’un code d’exploitation

Aucun code d’exploitation n’est disponible publiquement.
Néanmoins les détails techniques de la vulnérabilité sont disponibles, ce qui facilite grandement son exploitation :

https://gist.githubusercontent.com/henices/db11664dd45b9f322f8514d182aef5ea/raw/d56940c8bf211992bf4f3309a85bb2b69383e511/CVE-2020-26664.txt

Composants vulnérables

VLC v3.0.11

CVE

CVE-2020-26664

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mettre à jour VLC vers la version 3.0.12

Solution de contournement

Aucune solution de contournement n’est proposée publiquement à l'heure actuelle.

Liens

VLC Media Player 3.0.12 fixes multiple remote code execution flaws