Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
15/07/2011
Hossein Lofti ha descubierto dos vulnerabilidades en la última versión del conocido reproductor multimedia VLC Media Player. Estas vulnerabilidades afectan los decodificadores de ficheros AVI y RealMedia, y para explotarlas es necesario que el usuario víctima abra contenido multimedia especialmente manipulado.
La primera de ellas se debe a un fallo de desbordamiento de enteros al parsear un bloque de datos RealAudio contenido dentro de un fichero RealMedia (RM), mientras que la segunda se debe a un error al tratar un fragmento "strf" dentro de un fichero AVI. Ambas provocan fallos de desbordamiento de pila.
VLC Media Player versiones hasta la 1.1.10
Referencias:CVE-2011-2587 , CVE-2011-2588
Solución:Estos problemas serán resueltos en la versión 1.1.11, todavía no publicada. Como medida temporal se recomienda no abrir ficheros provenientes de fuentes no confiables o desconocidas, o eliminar los plugins de RealMedia (demux/libreal_plugin.*) y AVI (demux/libavi_plugin.*). En este último caso no será posible abrir ningún fichero de estos tipos.
Notas:http://www.h-online.com/security/news/item/VLC-Media-Player-vulnerable-to-heap-overflow-exploits-1279247.html
http://secunia.com/advisories/45066/
http://www.videolan.org/security/sa1105.html
http://www.videolan.org/security/sa1106.html