bulletin de vulnérabilité CVE-2010-0480

Windows : exécution de code via MPEG

Synthèse de la vulnérabilité

Un attaquant peut inviter la victime à ouvrir un document AVI illicite, afin de faire exécuter du code sur sa machine.

Gravité : 3/4. Date création : 14/04/2010.

Description de la vulnérabilité

Une vidéo AVI peut avoir la bande son encodée au format MPEG Layer-3 (MP3). Les codecs MP3 de Windows sont fournis par Microsoft DirectShow (l3codecx.ax) et Fraunhofer IIS (L3codeca.acm et L3codecp.acm). Cependant, ces codecs ne valident pas correctement la bande son d'un document AVI, ce qui provoque un débordement de pile. Un attaquant peut donc inviter la victime à ouvrir un document AVI illicite, afin de faire exécuter du code sur sa machine.

Bulletin Vigil@nce complet

Accès au bulletin Vigil@nce complet

Caractéristiques

Titre : Windows : exécution de code via MPEG. Mots clés : AVI DirectShow Fraunhofer IIS L3codeca L3codecp Layer-3 MP3 MPEG Microsoft Windows code exécution l3codecx. Références : 977816, BID-39303, CVE-2010-0480, MS10-026, VIGILANCE-VUL-9578.

Sources d'information

Publications et annonces Exemple de source : MS10-026 - Vulnerability in Microsoft MPEG Layer-3 Codecs Could Allow Remote Code Execution (977816)

Solutions pour cette vulnérabilité

Patch correctif ou contre-mesure

Service de veille sur les vulnérabilités informatiques

Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.
La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.
Ce bulletin a été rédigé par l'équipe Vigil@nce, qui surveille les vulnérabilités informatiques de systèmes et d'applications.
Vulnérabilité informatique d'applications