c.m.g
19-03-2008, 19:09
19 Marzo 2008 ore 09:50
http://www.webnews.it/img/news/news_b950b86a1cca4669.jpg
Nonostante la sua natura open source e la recente patch rilasciata in febbraio è ancora possibile avvantaggiarsi di un problema nel sistema con cui VLC Media Player processa i file dei sottotitoli e usarli per eseguire codice arbitrario
Anche il mondo open source non sembra essere al di sopra di ogni possibile minaccia e qualche volta arriva notizia di vulnerabilità riscontrate in quei prodotti che, per la vasta base di sviluppatori, sono ritenuti in linea di massima sicuri o quantomeno privi di gravi pericoli.
Ancora non risulta essere stato riparato il problema che può portare anche all'esecuzione di codice arbitrario su VideoLAN VLC, il media player tra i più stabili, efficenti e completi in circolazione, prodotto come parte del VideoLAN Project e rilasciato gratuitamente sotto la licenza General Public di GNU. Si tratta di un exploit in grado di avvantaggiarsi della creazione ad arte di un buffer overflow a partire dai sottotitoli.
VLC infatti consente, parallelamente all'apertura di un qualsiasi file video, anche l'apertura di un separato file per i sottotitoli (il quale può anche essere un txt, l'importante è che sia formattato secondo lo standard del settore) e proprio nel momento in cui il file in questione viene processato è possibile avvantaggiarsi dell'overflow. L'exploit è valido sia in ambiente Windows che Mac che BSD.
Secondo le prime ricerche il bug esisteva anche prima che lo scorso febbraio fosse rilasciata l'ultima versione del programma, la 0.8.6e. È evidente che il problema o è sfuggito al controllo oppure non è stato riparato correttamente nonostante fosse stato identificato. La nota scritta da Luigi Auriemma, colui il quale ha segnalato (http://securityvulns.com/Tdocument429.html) il bug, infatti non lascia dubbi: «La cosa divertente è che il mio vecchio exploit era stato costruito proprio per testare questo tipo di buffer overflow e funziona senza problemi anche sulla nuova versione di VLC».
Gabriele Niola
Fonte: WebNews.it (http://www.webnews.it/news/leggi/7980/bacato-il-noto-media-player-vlc/)
http://www.webnews.it/img/news/news_b950b86a1cca4669.jpg
Nonostante la sua natura open source e la recente patch rilasciata in febbraio è ancora possibile avvantaggiarsi di un problema nel sistema con cui VLC Media Player processa i file dei sottotitoli e usarli per eseguire codice arbitrario
Anche il mondo open source non sembra essere al di sopra di ogni possibile minaccia e qualche volta arriva notizia di vulnerabilità riscontrate in quei prodotti che, per la vasta base di sviluppatori, sono ritenuti in linea di massima sicuri o quantomeno privi di gravi pericoli.
Ancora non risulta essere stato riparato il problema che può portare anche all'esecuzione di codice arbitrario su VideoLAN VLC, il media player tra i più stabili, efficenti e completi in circolazione, prodotto come parte del VideoLAN Project e rilasciato gratuitamente sotto la licenza General Public di GNU. Si tratta di un exploit in grado di avvantaggiarsi della creazione ad arte di un buffer overflow a partire dai sottotitoli.
VLC infatti consente, parallelamente all'apertura di un qualsiasi file video, anche l'apertura di un separato file per i sottotitoli (il quale può anche essere un txt, l'importante è che sia formattato secondo lo standard del settore) e proprio nel momento in cui il file in questione viene processato è possibile avvantaggiarsi dell'overflow. L'exploit è valido sia in ambiente Windows che Mac che BSD.
Secondo le prime ricerche il bug esisteva anche prima che lo scorso febbraio fosse rilasciata l'ultima versione del programma, la 0.8.6e. È evidente che il problema o è sfuggito al controllo oppure non è stato riparato correttamente nonostante fosse stato identificato. La nota scritta da Luigi Auriemma, colui il quale ha segnalato (http://securityvulns.com/Tdocument429.html) il bug, infatti non lascia dubbi: «La cosa divertente è che il mio vecchio exploit era stato costruito proprio per testare questo tipo di buffer overflow e funziona senza problemi anche sulla nuova versione di VLC».
Gabriele Niola
Fonte: WebNews.it (http://www.webnews.it/news/leggi/7980/bacato-il-noto-media-player-vlc/)