| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.4 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine Schwachstelle in VideoLAN VLC Media Player bis 1.2.31/1.4.0beta33 entdeckt. Sie wurde als kritisch eingestuft. Betroffen ist eine unbekannte Verarbeitung der Komponente TY Processor. Durch das Beeinflussen mit unbekannten Daten kann eine Denial of Service-Schwachstelle ausgenutzt werden. Diese Schwachstelle trägt die Bezeichnung CVE-2008-3964. Es ist möglich, den Angriff aus der Ferne durchzuführen. Es gibt keinen verfügbaren Exploit. Die Aktualisierung der betroffenen Komponente wird empfohlen.
Details
VideoLAN ist der Name eines Projekts der französischen Ingenieurschule École Centrale Paris aus Châtenay-Malabry bei Paris. In Zusammenarbeit mit unabhängigen Entwicklern aus über 20 Ländern und ehemaligen Studenten der Schule entwickelt VideoLAN eine quelloffene Streaming-Lösung für digitale Audio- und Videoformate. Das Projekt hat über 50 Mitglieder, von denen etwa 15 bis 20 regelmäßig mitarbeiten. Das berühmteste Mitglied des Teams ist der norwegische Programmierer Jon Lech Johansen, der durch die Umgehung des Kopierschutzes CSS von DVDs und des im iTunes Music Store benutzten DRM-Systems FairPlay auch in den Massenmedien bekannt wurde. Tobias Klein fand einen Pufferüberlauf in aktuellen Versionen des Players, mit dessen Hilfe beliebiger Code zur Ausführung gebracht werden kann. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (44928), Tenable (36671), SecurityFocus (BID 31049†), OSVDB (48298†) und Secunia (SA31781†) dokumentiert. Die Schwachstellen VDB-3365, VDB-39128 und VDB-39127 sind ähnlich. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Für den Vulnerability Scanner Nessus wurde am 23.04.2009 ein Plugin mit der ID 36671 (Mandriva Linux Security Advisory : libpng (MDVSA-2009:051)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Mandriva Local Security Checks zugeordnet und im Kontext l ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 116448 (Sun Solaris libpng Multiple Vulnerabilities (1020521.1)) zur Prüfung der Schwachstelle an.
Das Dasein als Quasi-Standardapplikation ist nicht immer ganz leicht. Tobias Klein, der auch schon Bücher zum Thema Pufferüberläufe veröffentlichte, illustriert eine kritische Schwachstelle. Diese sollte zeitnah durch das Einspielen der entsprechenden Patches mitigiert werden.
Produkt
Typ
Hersteller
Name
Version
- 1.2.0
- 1.2.1
- 1.2.2
- 1.2.3
- 1.2.4
- 1.2.5
- 1.2.6
- 1.2.7
- 1.2.8
- 1.2.9
- 1.2.10
- 1.2.11
- 1.2.12
- 1.2.13
- 1.2.14
- 1.2.15
- 1.2.16
- 1.2.17
- 1.2.18
- 1.2.19
- 1.2.20
- 1.2.21
- 1.2.22
- 1.2.23
- 1.2.24
- 1.2.25
- 1.2.26
- 1.2.27
- 1.2.28
- 1.2.29
- 1.2.30
- 1.2.31
- 1.4.0beta33
Lizenz
Webseite
- Hersteller: https://www.videolan.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.3VulDB Meta Temp Score: 6.4
VulDB Base Score: 7.3
VulDB Temp Score: 6.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Denial of ServiceCWE: CWE-399 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 36671
Nessus Name: Mandriva Linux Security Advisory : libpng (MDVSA-2009:051)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Nessus Port: 🔍
OpenVAS ID: 62964
OpenVAS Name: Gentoo Security Advisory GLSA 200812-15 (povray)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Patch: videolan.org
Timeline
06.09.2008 🔍08.09.2008 🔍
08.09.2008 🔍
08.09.2008 🔍
09.09.2008 🔍
10.09.2008 🔍
20.10.2008 🔍
29.10.2008 🔍
22.12.2008 🔍
23.02.2009 🔍
23.04.2009 🔍
29.11.2024 🔍
Quellen
Hersteller: videolan.orgAdvisory: videolan.org
Person: Tobias Klein
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2008-3964 (🔍)
GCVE (CVE): GCVE-0-2008-3964
GCVE (VulDB): GCVE-100-3858
OVAL: 🔍
CERT: 🔍
X-Force: 44928 - libpng png_push_read_zTXt() function denial of service, Medium Risk
SecurityFocus: 31049 - Libpng Library 'png_push_read_zTXt()' Off-By-One Denial of Service Vulnerability
Secunia: 31781 - libpng "png_push_read_zTXt()" Off-By-One Vulnerability, Less Critical
OSVDB: 48298 - libpng pngread.c png_push_read_zTXt() Function Off-By-One
Vulnerability Center: 20308 - libpng < 1.2.32beta01, and 1.4 -1.4.0beta33 Multiple Off-by-One Errors Allow Remote DoS, Medium
Vupen: ADV-2008-2512
Siehe auch: 🔍
Eintrag
Erstellt: 29.10.2008 11:16Aktualisierung: 29.11.2024 02:42
Anpassungen: 29.10.2008 11:16 (90), 06.05.2019 07:06 (8), 16.03.2021 19:50 (3), 29.11.2024 02:42 (15)
Komplett: 🔍
Cache ID: 216:DBD:103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.