CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

10/07/2012

Ejecución de código arbitrario en VLC Player

Se ha publicado una vulnerabilidad en VLC Player que podría permitir a un atacante ejecutar código arbitrario si convence a un usuario para reproducir un archivo OGG especialmente manipulado.

Riesgo: Medio

 

VLC Media Player es un completo reproductor multimedia que soporta un gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de streaming. Además está disponible para un amplio número de plataformas distintas como Windows, Mac OS X y para varias distribuciones de Linux. VLC también puede ser utilizado como servidor en unicast o multicast, en IPv4 o IPv6, para una red de banda ancha y tiene disponible un plug-in para Firefox que permite ver algunos archivos Quicktime y Windows Media desde páginas web sin necesidad de utilizar los reproductores de Apple o Microsoft.
Se ha publicado una actualización que corrige vulnerabilidad con identificador CVE-2012-3377. El error se encuentra localizado en la función "Ogg_DecodePacket" del archivo "modules/demux/ogg.c" y produce un desbordamiento de memoria basada en heap, dejando la posibilidad de ejecución de código arbitrario.
Para aprovechar esta vulnerabilidad, un atacante debe un archivo especialmente manipulado y lograr que la víctima lo intente reproducir.

 

Sistemas Afectados:

Versiones anteriores a la 2.0.2

Referencias:

CVE-2012-3377

Solución:

Este fallo ha sido arreglado en la versión 2.0.2 de VLC Player.

Notas:

ogg: Fix a heap buffer overflow

https://bugs.launchpad.net/ubuntu/+source/vlc/+bug/1020403
Fuente: Hispasec una-al-día

CSIRT-CV