Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
10/07/2012
Execució de codi arbitrari en VLC Player
S’ha publicat una vulnerabilitat en VLC Player que podria permetre a un atacant executar codi arbitrari si convenç un usuari per a reproduir un arxiu OGG especialment manipulat.VLC Media Player és un complet reproductor multimèdia que suporta un gran nombre de formats, com poden ser: MP3, MPEG, DivX, VCD o DVD entre altres, així com diversos protocols de reproducció en temps real. A més està disponible per a un ampli nombre de plataformes distintes com Windows, Mac OS X i per a diverses distribucions de Linux. VLC també pot ser utilitzat com a servidor en unidestinació o transmissió a grups, en IPv4 o IPv6, per a una xarxa de banda ampla i té disponible un connector per a Firefox que permet veure alguns arxius Quicktime i Windows Media des de pàgines web sense necessitat d’utilitzar els reproductors d’Apple o Microsoft.
S’ha publicat una actualització que corregix vulnerabilitat amb identificador CVE-2012-3377. L’error es troba localitzat en la funció “Ogg_DecodePacket” de l’arxiu “modules/demux/ogg.c” i produïx un desbordament de memòria en monticle, deixant la possibilitat d’execució de codi arbitrari.
Per a aprofitar esta vulnerabilitat, un atacant deu un arxiu especialment manipulat i aconseguir que la víctima intente reproduir-lo.
Versions anteriors a la 2.0.2
Referències:CVE-2012-3377
Solució:Esta fallada ha sigut arreglada en la versió 2.0.2 de VLC Player.
Notes:Més informació: