Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
15/07/2011
Hossein Lofti ha descobert dues vulnerabilitats en l'última versió del conegut reproductor multimèdia VLC Media Player. Aquestes vulnerabilitats afecten els descodificadors de fitxers AVI i RealMedia, i per a explotar-les hi cal que l'usuari víctima òbriga contingut multimèdia especialment manipulat.
La primera d'elles es deu a un fallada de desbordament de sencers en apedaçar un bloc de dades RealAudio, contingut dins d'un fitxer RealMedia (RM); mentre que la segona es deu a un error en tractar un fragment "strf" dins d'un fitxer AVI. Ambdues provoquen fallades de desbordament de pila.
VLC Media Player, versions fins a la 1.1.10
Referències:CVE-2011-2587 , CVE-2011-2588
Solució:Aquests problemes seran resolts en la versió 1.1.11, encara no publicada. Com a mesura temporal es recomana no obrir fitxers provinents de fonts no confiables o desconegudes, o eliminar els plugins de RealMedia (demux/libreal_plugin.*) i AVI (demux/libavi_plugin.*). En aquest últim cas no serà possible obrir cap fitxer d'aquests tipus.
Notes:http://www.h-online.com/security/news/item/VLC-Media-Player-vulnerable-to-heap-overflow-exploits-1279247.html
http://secunia.com/advisories/45066/
http://www.videolan.org/security/sa1105.html
http://www.videolan.org/security/sa1106.html