c.m.g
27-02-2008, 10:03
27 febbraio 2008
La società di sicurezza Secunia (http://secunia.com/advisories/29122/) ha riportato un advisory (SA29122 (http://secunia.com/advisories/29122/)) in cui si spiega che è stata trovata una vulnerabilità in VLC media player 0.x, giudicata dalla stessa come Highly critical, che potrebbe essere sfruttata da malintenzionati per compromettere il sistema di un untente ignaro.
Il bug causerebbe una sovrascrittura arbitraria della memoria con dei file MPEG-4 creati ad hoc grazie ad un errore di gestione dell'MP4 demuxer (modules/demux/mp4/mp4.c).
Lo sfruttamento con successo du questo bug potrebbe portare all'esecuzione di codice arbitrario (presumibilmente malevolo) sulla macchina che esegue questo software.
La vulnerabilità è stata confermata nelle versioni antecedenti la 0.8.6d ma non si esclude che anche altre versioni siano affette.
Soluzione:
Applicare la patch del produttore:
http://www.videolan.org/patches/vlc-0.8.6-CORE-2008-0130.patch
La software house riporta anche che uscirà presto una nuova versione che correggerò definitivamente questa vulnerabilità.
Comunque si raccomanda di non aprire file e navigare in siti di dubbia provenienza.
Advisory d'origine:
VideoLAN:
http://www.videolan.org/security/sa0802.html
Fonte: Secunia (http://secunia.com/advisories/29122/)
La società di sicurezza Secunia (http://secunia.com/advisories/29122/) ha riportato un advisory (SA29122 (http://secunia.com/advisories/29122/)) in cui si spiega che è stata trovata una vulnerabilità in VLC media player 0.x, giudicata dalla stessa come Highly critical, che potrebbe essere sfruttata da malintenzionati per compromettere il sistema di un untente ignaro.
Il bug causerebbe una sovrascrittura arbitraria della memoria con dei file MPEG-4 creati ad hoc grazie ad un errore di gestione dell'MP4 demuxer (modules/demux/mp4/mp4.c).
Lo sfruttamento con successo du questo bug potrebbe portare all'esecuzione di codice arbitrario (presumibilmente malevolo) sulla macchina che esegue questo software.
La vulnerabilità è stata confermata nelle versioni antecedenti la 0.8.6d ma non si esclude che anche altre versioni siano affette.
Soluzione:
Applicare la patch del produttore:
http://www.videolan.org/patches/vlc-0.8.6-CORE-2008-0130.patch
La software house riporta anche che uscirà presto una nuova versione che correggerò definitivamente questa vulnerabilità.
Comunque si raccomanda di non aprire file e navigare in siti di dubbia provenienza.
Advisory d'origine:
VideoLAN:
http://www.videolan.org/security/sa0802.html
Fonte: Secunia (http://secunia.com/advisories/29122/)