Se
ha confirmado una
vulnerabilidad en el reproductor
multimedia VLC Media Player (versiones 2.2.3 y anteriores), que podrían
permitir a atacantes remotos lograr comprometer
los sistemas que ejecuten este conocido programa.
VLC Media Player es un completo reproductor multimedia que soporta un gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de streaming. Además está disponible para un amplio número de plataformas distintas como Windows, Mac OS X y para varias distribuciones de Linux. VLC también puede ser utilizado como servidor en unicast o multicast, en IPv4 o IPv6, para una red de banda ancha.
El problema (con CVE-2016-5108)
se debe a una escritura fuera de límites en modules/codec/adpcm.c, en la función
DecodeAdpcmImaQT; debido a que no se comprueba que el número de canales en el
flujo de entrada es menor o igual el tamaño del búfer. Podría emplearse para
lograr denegaciones de servicio o incluso ejecutar código arbitrario a través
de archivos QuickTime IMA manipulados.
VLC ha confirmado el problema que quedará corregido en las versiones 2.2.4 y
3.0.0 de VLC.
Más información:
CVE request: VLC - crash and potential code
execution when processing QuickTime IMA files
Changes between 2.2.3 and 2.2.4
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario