[FAKE] Vulnérabilité 0Day dans VLC

Toutes les mises à jour de sécurités publiées et les failles annoncées
Reprise notamment des publications du CERT-FR (ANSSI)
Répondre
Avatar du membre
charles
Administrateur du site
Messages : 3851
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

[FAKE] Vulnérabilité 0Day dans VLC

Message par charles » 23 juil. 2019 10:02

Le CERT national Allemand a publié le 19/07/2019 un avis relatif à une vulnérabilité pas encore corrigée sur le lecteur multimédia VLC, permettant l'exécution de code arbitraire, la fuite d'informations, un déni de service ou encore de manipuler des fichiers. On serait donc sur une score CVSS 3 de 9,8 / 10.

https://www.cert-bund.de/advisoryshort/CB-K19-0634
https://www.heise.de/security/meldung/V ... 75712.html

Avatar du membre
charles
Administrateur du site
Messages : 3851
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: [FAKE] Vulnérabilité 0Day dans VLC

Message par charles » 03 août 2019 09:54

La vulnérabilité annoncée par le CERT Allemand avait été corrigée dans la version 3.0.3, il y a 16 mois environ.
La personne ayant remonté la vulnérabilité utilisait une version d'Ubuntu apparemment assez ancienne, avec un librairie appelée par VLC, qui elle était vulnérable.

Mauvaise gestion générale, le MITRE n'avait pas informé VLC, le CERT Allemand a repris l'info un peu vite, et moi également.

https://twitter.com/videolan/status/1153963312981389312

Répondre

Retourner vers « Alertes de sécurité - Mises à jour et failles »