For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00386
Identificador(es)
ASA-2019-00386, CVE-2019-12874, VideoLAN-SA-1901
Título
Double free em zlib_decompress_extra()
Fabricante(s)
VideoLAN
Produto(s)
VLC media player
Versão(ões) afetada(s)
VLC media player versões 3.0.6 e anterior
Versão(ões) corrigida(s)
VLC media player versão 3.0.7
Prova de conceito
Desconhecido
Descrição
Um usuário remoto pode criar alguns arquivos mkv especialmente criados que, quando carregados pelo usuário de destino, acionaram um double free em zlib_decompress_extra() (demux/mkv/utils.cpp) respectivamente.
Se bem-sucedido, um terceiro mal-intencionado poderia acionar um crash do VLC ou uma execução de código arbitrário com os privilégios do usuário de destino.
Detalhes técnicos
Desconhecida
Créditos
Symeon Paraschoudis
Referência(s)
Read buffer overflow & double free
https://www.videolan.org/security/sa1901.html
VLC 3.0.7 and security
http://www.jbkempf.com/blog/post/2019/VLC-3.0.7-and-security
NEWS
https://www.videolan.org/developers/vlc-branch/NEWS
CVE-2019-12874
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12874
CVE-2019-12874
https://nvd.nist.gov/vuln/detail/CVE-2019-12874
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 27 junho 2019