15 ottobre 2008


La società di sicurezza Secunia (http://secunia.com/) riporta un Advisory (SA32267 (http://secunia.com/advisories/32267/)) in cui si spiega che è stata trovata una vulnerabilità in VLC media player 0.x, giudicata dalla stessa come Highly critical, il quale potenzialmente potrebbe essere usata da malintenzionati per compromettere il sistema di un utente ignaro.

La vulnerabilità è causata in un errore insito nella funzione "parse_track_node()" nel modulo /demux/playlist/xspf.c. Questa falla può essere sfruttata per corrompere la memoria attraverso file XSPF creati ad hoc da malintenzionati contenenti un attributo di "identificatore" negativo.

Lo sfruttamento con successo potrebbe portare all'esecuzione arbitraria di codice malevolo.

La vulnerabilità è stata confermata nelle versione antecedenti la 0.9.3.

Soluzione:
Aggiornare alla versione 0.9.3 o successivi.

Falla scoperta da:
Falla fixata senza avvisi pubblici dal produttore del software nella versione 0.9.3.
Falla riportata dai seguenti ricercatori: Francisco Falcon, Core Security Technologies.

Advisory d'origine:
Core Security Technologies:
http://www.coresecurity.com/content/vlc-xspf-memory-corruption



Fonte: Secunia (http://secunia.com/advisories/32267/)

ripreso da security focus:

http://www.securityfocus.com/bid/31758

ultimamente vlc almeno a giudicare dalle news di sezione sembra riportare più di un problema di sicurezza...solo una ricerca in questa sezione evidenzia 13 risultati in pochi mesi
da qualche lettura qua e la mi par di aver capito che sono a corto di sviluppatori per windows (qualcuno dice che nuove versioni potrebbero essere a rischio...poi è tutto da vedere)

forse meglio kmplayer in questo momento
http://www.kmplayer.com/forums/showthread.php?t=11351

:)