VideoLAN VLC Media Player до 2.0.4 HTML Subtitle Parser modules/codec/subsdec.c повреждение памяти

CVSS Meta Temp ScoreТекущая цена эксплойта (≈)Балл интереса CTI
6.6$0-$5k0.00

СводкаИнформация

Зафиксирована уязвимость, классифицируемая как проблематичный, в VideoLAN VLC Media Player до 2.0.4. Поражена неизвестная функция файла modules/codec/subsdec.c компонента HTML Subtitle Parser. Осуществление манипуляции приводит к повреждение памяти. Эта уязвимость проходит под номером CVE-2013-1868. Более того, эксплойт доступен. Рекомендуется выполнить обновление уязвимого компонента.

ПодробностиИнформация

Зафиксирована уязвимость, классифицируемая как проблематичный, в VideoLAN VLC Media Player до 2.0.4. Поражена неизвестная функция файла modules/codec/subsdec.c компонента HTML Subtitle Parser. Осуществление манипуляции приводит к повреждение памяти. Определение CWE для уязвимости следующее CWE-119. Информация о слабости была опубликована 15.12.2012 совместно с VideoLAN под номером VLC 2.0.5 как Changelog Entry (Веб-сайт). Уведомление опубликовано для скачивания на videolan.org. Поставщик был вовлечен в процесс раскрытия уязвимости.

Эта уязвимость проходит под номером CVE-2013-1868. Присвоение CVE было выполнено 19.02.2013. Технические детали доступны. Уровень популярности этой уязвимости ниже среднего значения. Более того, эксплойт доступен. Эксплойт стал общедоступным и может быть использован. На текущий момент стоимость эксплойта может быть примерно USD $0-$5k.

Это объявлено как Доказательство концепции. Эксплойт опубликован для скачивания на exploit-db.com. Мы ожидаем, что 0-день стоил приблизительно $0-$5k. Сканер уязвимостей Nessus содержит плагин с ID 76417. Это относится к семейству Debian Local Security Checks. Зависит от порта 0. Коммерческий сканер уязвимостей Qualys способен проверить эту проблему с помощью плагина 122478 (VLC Media Player HTML Subtitle and Freetype Renderer Buffer Overflow Vulnerabilities).

Установка версии 2.0.5 позволяет решить данный вопрос. Последняя версия доступна для скачивания по ссылке videolan.org. Рекомендуется выполнить обновление уязвимого компонента.

Данный тип атаки также может быть обнаружен и предотвращён с помощью TippingPoint и фильтра 13031. Информация об уязвимости также содержится в других базах данных уязвимостей: SecurityFocus (BID 57079), X-Force (80881), Secunia (SA51692), SecurityTracker (ID 1027929) и Vulnerability Center (SBV-39806).

ПродуктИнформация

Тип

Поставщик

Имя

Версия

Лицензия

Веб-сайт

CPE 2.3Информация

CPE 2.2Информация

CVSSv4Информация

VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv3Информация

VulDB Meta Base Score: 7.3
VulDB Meta Temp Score: 6.6

VulDB Базовый балл: 7.3
VulDB Временная оценка: 6.6
VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv2Информация

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
ВекторСложностьАутентификацияКонфиденциальностьЦелостностьДоступность
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать

VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍

NVD Базовый балл: 🔍

ЭксплуатацияИнформация

Класс: повреждение памяти
CWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍

Физический: Нет
Локальный: Нет
Удалённый: Да

Доступность: 🔍
Доступ: публичный
Статус: Доказательство концепции
Скачать: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Прогноз цен: 🔍
Оценка текущей цены: 🔍

0-DayРазблокироватьРазблокироватьРазблокироватьРазблокировать
СегодняРазблокироватьРазблокироватьРазблокироватьРазблокировать

Nessus ID: 76417
Nessus Имя: Debian DSA-2973-1 : vlc - security update
Nessus Файл: 🔍
Nessus Риск: 🔍
Nessus Семейство: 🔍
Nessus Port: 🔍

OpenVAS ID: 803901
OpenVAS Имя: VLC Media Player Multiple Vulnerabilities - July 13 (MAC OS X)
OpenVAS Файл: 🔍
OpenVAS Семейство: 🔍

Qualys ID: 🔍
Qualys Имя: 🔍

Exploit-DB: 🔍

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендация: Обновление
Статус: 🔍

Время реакции: 🔍
0-дневное время: 🔍
Время экспозиции: 🔍

Обновление: VLC Media Player 2.0.5
TippingPoint: 🔍

ХронологияИнформация

07.12.2012 🔍
15.12.2012 +8 дни 🔍
15.12.2012 +0 дни 🔍
15.12.2012 +0 дни 🔍
28.12.2012 +13 дни 🔍
29.12.2012 +1 дни 🔍
30.12.2012 +1 дни 🔍
19.02.2013 +51 дни 🔍
03.06.2013 +104 дни 🔍
10.07.2013 +37 дни 🔍
09.07.2014 +364 дни 🔍
28.05.2025 +3976 дни 🔍

ИсточникиИнформация

Поставщик: videolan.org

Консультация: VLC 2.0.5
Исследователь: http://www.videolan.org
Организация: VideoLAN
Статус: Подтверждённый
Подтверждение: 🔍
Скоординированный: 🔍

CVE: CVE-2013-1868 (🔍)
GCVE (CVE): GCVE-0-2013-1868
GCVE (VulDB): GCVE-100-7228

OVAL: 🔍

X-Force: 80881 - VLC Media Player HTML subtitle buffer overflow, High Risk
SecurityFocus: 57079 - VLC Media Player HTML Subtitle Multiple Buffer Overflow Vulnerabilities
Secunia: 51692 - VLC Media Player HTML Subtitle Parsing Buffer Overflow Vulnerabilities, Highly Critical
SecurityTracker: 1027929 - VLC Media Player Buffer Overflow in HTML Subtitle Parser Lets Remote Users Execute Arbitrary Code
Vulnerability Center: 39806 - VideoLan VLC Media Player Before 2.0.5 Remote DoS and Host Privileges Vulnerability in HTML Subtitle Parser, Critical

scip Labs: https://www.scip.ch/en/?labs.20161013
Смотрите также: 🔍

ВходИнформация

Создано: 30.12.2012 14:17
Обновлено: 28.05.2025 02:14
Изменения: 30.12.2012 14:17 (90), 01.05.2017 11:28 (5), 20.04.2021 14:06 (3), 27.12.2024 16:55 (16), 28.05.2025 02:14 (11)
Завершенный: 🔍
Cache ID: 216::103

Once again VulDB remains the best source for vulnerability data.

Обсуждение

Комментариев пока нет. Языки: ru + be + en.

Пожалуйста, войдите в систему, чтобы прокомментировать.

ПредыдущийОбзорДалее

Do you want to use VulDB in your project?

Use the official API to access entries easily!