Se han anunciado dos vulnerabilidades en el reproductor multimedia VLC Media Player (versiones 1.1.5 y anteriores), que podrían permitir a atacantes remotos lograr comprometer los sistemas que ejecuten este conocido programa.
VLC Media Player es un completo reproductor multimedia que soporta un gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de streaming. Además está disponible para un amplio número de plataformas distintas como Windows, Mac OS X y para varias distribuciones de Linux. VLC también puede ser utilizado como servidor en unicast o multicast, en IPv4 o IPv6, para una red de banda ancha y tiene disponible un plug-in para Firefox que permite ver algunos archivos Quicktime y Windows Media desde páginas web sin necesidad de utilizar los reproductores de Apple o Microsoft.
Los problemas están provocados por errores en el indexado de matrices en las funciones "DecodeTileBlock()" y "DecodeScroll()" de modules/codec/cdg.c incluidas en el módulo decodificador CDG al procesar datos mal construidos. Un atacante remoto podría emplear estos fallos para lograr la ejecución de código arbitrario si consigue que un usuario reproduzca un archivo CD+G (CD+Graphics) o visite una página web específicamente creada. Se encuentra disponible una actualización, disponible vía GIT :
git.videolan.org Git - vlc.git/commit
Via: www.hispasec.com
VLC Media Player es un completo reproductor multimedia que soporta un gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de streaming. Además está disponible para un amplio número de plataformas distintas como Windows, Mac OS X y para varias distribuciones de Linux. VLC también puede ser utilizado como servidor en unicast o multicast, en IPv4 o IPv6, para una red de banda ancha y tiene disponible un plug-in para Firefox que permite ver algunos archivos Quicktime y Windows Media desde páginas web sin necesidad de utilizar los reproductores de Apple o Microsoft.
Los problemas están provocados por errores en el indexado de matrices en las funciones "DecodeTileBlock()" y "DecodeScroll()" de modules/codec/cdg.c incluidas en el módulo decodificador CDG al procesar datos mal construidos. Un atacante remoto podría emplear estos fallos para lograr la ejecución de código arbitrario si consigue que un usuario reproduzca un archivo CD+G (CD+Graphics) o visite una página web específicamente creada. Se encuentra disponible una actualización, disponible vía GIT :
git.videolan.org Git - vlc.git/commit
Via: www.hispasec.com
