Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
18/07/2018
Detectada una vulnerabilidad VLC Media Player
La vulnerabilidad detectada podría permitir la ejecución de código arbitrario.Se ha detectado una vulnerabilidad en el famoso reproductor VLC Media Player, al parecer el error es causado por el acceso a memoria previamente liberada al reproducir un fichero MKV malicioso.
En el siguiente enlace, podéis encontrar una prueba de concepto en la que a través de un script escrito en Python se genera un fichero MKV que permite lanzar la Calculadora de Windows.
Sistemas Afectados:Versiones de VLC 2.2.8 y anteriores tanto para 32 bits como para 64 bits.
Referencias:CVE-2018-11529
Solución:Actualizar a las nuevas versiones del producto (en estos momentos, la 3.0.3) desde la página oficial.
Notas:VLC media player 2.2.8 Arbitrary Code Execution PoC:
http://seclists.org/fulldisclosure/2018/Jul/28