📚 VLC Media Player 2.1.6-0 WAV File Handler Pufferüberlauf
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: scip.ch
Allgemein
scipID: 81611
Betroffen: VLC Media Player 2.1.6-0
Veröffentlicht: 01.04.2016 (Gustavo Grieco)
Risiko: kritisch
Erstellt: 06.04.2016
Eintrag: 69.3% komplett
Beschreibung
Eine Schwachstelle wurde in VLC Media Player 2.1.6-0 ausgemacht. Sie wurde als kritisch eingestuft. Es geht hierbei um eine unbekannte Funktion der Komponente WAV File Handler. Mit der Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 01.04.2016 durch Gustavo Grieco herausgegeben. Auf videolan.org kann das Advisory eingesehen werden. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2016-3941 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an. Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1035456) dokumentiert.
CVSS
Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 6.8 (CVSS2#E:ND/RL:U/RC:C) [?]
CPE
Exploiting
Klasse: Pufferüberlauf
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $2k-$5k (0-day) / $2k-$5k (Heute)
Gegenmassnahmen
Empfehlung: keine Massnahme bekannt
Status: Nicht verfügbar
0-Day Time: 0 Tage seit gefunden
Timeline
01.04.2016 | Advisory veröffentlicht
01.04.2016 | SecurityTracker Eintrag erstellt
06.04.2016 | VulDB Eintrag erstellt
06.04.2016 | VulDB Eintrag aktualisiert
Quellen
Advisory: videolan.org
Person: Gustavo Grieco
Status: Bestätigt
CVE: CVE-2016-3941 (mitre.org) (nvd.nist.org) (cvedetails.com)
SecurityTracker: 1035456 – VLC Media Player Buffer Overflow in Processing WAV Files Lets Remote Users Execute Arbitrary Code
...