06 novembre 2008


La società di sicurezza Secunia (http://secunia.com) riporta un Advisory (SA32569 (http://secunia.com/advisories/32569/)) in cui si spiega che sono state trovate due vulnerabilità in VLC media player 0.x, giudicate dalla stessa come Highly critical, che potenzialmente potrebbero essere usati da malintenzionati da remoto per compromettere il sistema di un utente ignaro.

Più nello specifico:

1) Un errore insito nel demuxer CUE può essere sfruttato per causare attacchi di tipo stack-based buffer overflow attraverso file immagine CUE creati ad hoc da malintenzionati.

2) Un error insito nel demuxer RealText può essere sfruttato per causare attacchi di tipo stack-based buffer overflow attraverso file di sottotitoli RealText creati ad hoc da malintenzionati.

Lo sfruttamento con successo di queste falle potrebbe permettere l'esecuzione di codice arbitrario malevolo.

Le falle sono state confermate nelle versioni dalla 0.5.0 fino alla 0.9.5.

Soluzione:
Aggiornare il player alla versione 0.9.6.

Falla scoperta da:
The vendor credits Tobias Klein.

Advisories d'origine:
VideoLAN:
http://www.videolan.org/security/sa0810.html

Tobias Klein:
http://www.trapkit.de/advisories/TKADV2008-011.txt
http://www.trapkit.de/advisories/TKADV2008-012.txt



Fonte: Secunia (http://secunia.com/advisories/32569/)

06 novembre 2008


La società di sicurezza Secunia (http://secunia.com) riporta un Advisory (SA32569 (http://secunia.com/advisories/32569/)) in cui si spiega che sono state trovate due vulnerabilità in VLC media player 0.x, giudicate dalla stessa come Highly critical, che potenzialmente potrebbero essere usati da malintenzionati da remoto per compromettere il sistema di un utente ignaro.

Più nello specifico:

1) Un errore insito nel demuxer CUE può essere sfruttato per causare attacchi di tipo stack-based buffer overflow attraverso file immagine CUE creati ad hoc da malintenzionati.

2) Un error insito nel demuxer RealText può essere sfruttato per causare attacchi di tipo stack-based buffer overflow attraverso file di sottotitoli RealText creati ad hoc da malintenzionati.

Lo sfruttamento con successo di queste falle potrebbe permettere l'esecuzione di codice arbitrario malevolo.

Le falle sono state confermate nelle versioni dalla 0.5.0 fino alla 0.9.5.

Soluzione:
Aggiornare il player alla versione 0.9.6.

Falla scoperta da:
The vendor credits Tobias Klein.

Advisories d'origine:
VideoLAN:
http://www.videolan.org/security/sa0810.html

Tobias Klein:
http://www.trapkit.de/advisories/TKADV2008-011.txt
http://www.trapkit.de/advisories/TKADV2008-012.txt



Fonte: Secunia (http://secunia.com/advisories/32569/)


ma se nel sito de vlc l'ultima versione è vlc 0.9.4 sta news non ha alcun senso -.-:doh:

ma se nel sito de vlc l'ultima versione è vlc 0.9.4 sta news non ha alcun senso -.-:doh:

Leggi bene prima di trarre conclusioni errate, grazie.


Advisories d'origine:
VideoLAN:
http://www.videolan.org/security/sa0810.html


Solution

VLC media player 0.9.6 addresses this issue. Patches for older versions are available from the official VLC source code repository 0.9-bugfix branch.

ma se nel sito de vlc l'ultima versione è vlc 0.9.4 sta news non ha alcun senso -.-:doh:

dai una bella lettura a fine pagina a questo indirizzo:

http://www.videolan.org/security/sa0810.html

la versione 0.96 è stata rilasciata ieri. :stordita:
esiste anche la 0.95 come puoi leggere nella stessa pagina, rilasciata il giorno prima.

ripreso da security focus:

http://www.securityfocus.com/bid/32125/info

ma questa 0.9.6 ha corretto o no tutti i problemi ?
perdonate ma non ho capito :confused:
scaricarlo dal link di vlc al primo post,giusto ?

si, scaricalo da qui:

http://www.videolan.org/mirror-geo.php?file=vlc/0.9.6/win32/vlc-0.9.6-win32.exe

si, scaricalo da qui:

http://www.videolan.org/mirror-geo.php?file=vlc/0.9.6/win32/vlc-0.9.6-win32.exe

thanks :)