domingo, 8 de julio de 2012

Ejecución de código arbitrario en VLC Player


Se ha publicado una vulnerabilidad en VLC Player que podría permitir a un atacante ejecutar código arbitrario si convence a un usuario para reproducir un archivo OGG especialmente manipulado.

VLC Media Player es un completo reproductor multimedia que soporta un gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de streaming. Además está disponible para un amplio número de plataformas distintas como Windows, Mac OS X y para varias distribuciones de Linux. VLC también puede ser utilizado como servidor en unicast o multicast, en IPv4 o IPv6, para una red de banda ancha y tiene disponible un plug-in para Firefox que permite ver algunos archivos Quicktime y Windows Media desde páginas web sin necesidad de utilizar los reproductores de Apple o Microsoft.

Se ha publicado una actualización que corrige vulnerabilidad con identificador CVE-2012-3377. El error se encuentra localizado en la función "Ogg_DecodePacket" del archivo "modules/demux/ogg.c" y produce un desbordamiento de memoria basada en heap, dejando la posibilidad de ejecución de código arbitrario.

Para aprovechar esta vulnerabilidad, un atacante debe un archivo especialmente manipulado y lograr que la víctima lo intente reproducir.

Este fallo ha sido arreglado en la versión 2.0.2 de VLC Player.

Más información:

ogg: Fix a heap buffer overflow




Daniel Vaca

1 comentario:

  1. Excelente, me mantiene informado con las debilidades en mi sistema.

    ResponderEliminar