Se ha descubierto una vulnerabilidad en el reproductor de archivos
multimedia VLC que podría ser aprovechada por un atacante remoto para causar una denegación de servicio o ejecutar código arbitrario.
VLC Media Player es un completo reproductor multimedia que soporta un gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de streaming. Además está disponible para un amplio número de plataformas distintas como Windows, Mac OS X y para varias distribuciones de Linux. VLC también puede ser utilizado como servidor en unicast o multicast, en IPv4 o IPv6, para una red de banda ancha y tiene disponible un plug-in para Firefox que permite ver algunos archivos Quicktime y Windows Media desde páginas web sin necesidad de utilizar los reproductores de Apple o Microsoft.
El problema está causado por un error de límites (en Ty.c) al procesar un archivo multimedia del tipo TY (TiVo) con las cabeceras especialmente modificadas. Esto podría dar lugar a un desbordamiento de búfer basado en pila que sería susceptible de ser utilizado para causar una denegación de servicio o ejecutar código arbitrario, si un usuario abre un archivo TY especialmente manipulado. La vulnerabilidad, reportada por Tobias Klein, está confirmada para las versiones de la 0.9.0 a la 0.9.4. Se recomienda actualizar a la versión 0.9.5 del reproductor VLC cuando esté disponible, desde:
VLC media player - Overview
Via:Hispasec - Seguridad Informática
multimedia VLC que podría ser aprovechada por un atacante remoto para causar una denegación de servicio o ejecutar código arbitrario.
VLC Media Player es un completo reproductor multimedia que soporta un gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de streaming. Además está disponible para un amplio número de plataformas distintas como Windows, Mac OS X y para varias distribuciones de Linux. VLC también puede ser utilizado como servidor en unicast o multicast, en IPv4 o IPv6, para una red de banda ancha y tiene disponible un plug-in para Firefox que permite ver algunos archivos Quicktime y Windows Media desde páginas web sin necesidad de utilizar los reproductores de Apple o Microsoft.
El problema está causado por un error de límites (en Ty.c) al procesar un archivo multimedia del tipo TY (TiVo) con las cabeceras especialmente modificadas. Esto podría dar lugar a un desbordamiento de búfer basado en pila que sería susceptible de ser utilizado para causar una denegación de servicio o ejecutar código arbitrario, si un usuario abre un archivo TY especialmente manipulado. La vulnerabilidad, reportada por Tobias Klein, está confirmada para las versiones de la 0.9.0 a la 0.9.4. Se recomienda actualizar a la versión 0.9.5 del reproductor VLC cuando esté disponible, desde:
VLC media player - Overview
Via:Hispasec - Seguridad Informática