Se
ha publicado una vulnerabilidad
en VLC Player que podría permitir a un atacante ejecutar código arbitrario
si convence a un usuario para reproducir un archivo OGG especialmente
manipulado.
VLC Media Player es un completo
reproductor multimedia que soporta un gran número de formatos, como pueden ser:
MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de
streaming. Además está disponible para un amplio número de plataformas
distintas como Windows, Mac OS X y para varias distribuciones de Linux. VLC
también puede ser utilizado como servidor en unicast o multicast, en IPv4 o
IPv6, para una red de banda ancha y tiene disponible un plug-in para Firefox
que permite ver algunos archivos Quicktime y Windows Media desde páginas web sin
necesidad de utilizar los reproductores de Apple o Microsoft.
Se ha publicado una actualización
que corrige vulnerabilidad con identificador CVE-2012-3377. El error se
encuentra localizado en la función "Ogg_DecodePacket"
del archivo "modules/demux/ogg.c"
y produce un desbordamiento de memoria
basada en heap, dejando la posibilidad de ejecución
de código arbitrario.
Para aprovechar esta
vulnerabilidad, un atacante debe un archivo especialmente manipulado y lograr
que la víctima lo intente reproducir.
Este fallo ha sido arreglado en
la versión 2.0.2 de VLC Player.
Más información:
ogg: Fix a heap buffer overflow
Daniel Vaca
Excelente, me mantiene informado con las debilidades en mi sistema.
ResponderEliminar