venerdì 26 giugno 2009

Security Focus (http://www.securityfocus.com/) riporta un bollettino di sicurezza (Bugtraq ID 35500 (http://www.securityfocus.com/bid/35500/info)) in cui si spiega che è stata trovata una vulnerabilità in VLC Media Player che esporrebbe il computer di un utente ignaro ad attacchi di tipo stack-based buffer-overflow da remoto.

Un attacker può sfruttare questa falla per far eseguire codice arbitrario malevolo nel contesto dell'applicazione buggata. Il fallimento porterebbe ad una condizione di negazione del servizio al legittimo user (Dos).

La falla è stata confermata in VLC Media Player v. 0.9.9 per Windows, ma non si esclude che anche altre versioni siano affette dal medesimo.

Soluzione:
è disponibile un fix a questo indirizzo (http://git.videolan.org/?p=vlc.git;a=commit;h=e60a9038b13b5eb805a76755efc5c6d5e080180f).

Classe falla:
Boundary Condition Error

Falla scoperta da:
dal produttore

Advisory d'origine:
Fix a segfault (buffer overflow for win32 only) (http://git.videolan.org/?p=vlc.git;a=commit;h=e60a9038b13b5eb805a76755efc5c6d5e080180f) (VideoLAN)




Fonte: SecurityFocus (http://www.securityfocus.com/bid/35500/info)

VLC Media Player SMB Input Module Buffer Overflow Vulnerability (http://secunia.com/advisories/35558/) su secunia

secunia online scanner non è ancora aggiornato per vlc :)

secunia online scanner non è ancora aggiornato per vlc :)

ho provato ieri sera con secunia PSI e ancora nulla. Come si fa a patchare il software? non credo di aver capito il link riportato nel primo post...

ho provato ieri sera con secunia PSI e ancora nulla. Come si fa a patchare il software? non credo di aver capito il link riportato nel primo post...

se ho capito bene, è disponibile qualche riga di codice da implementare nel sorgente per risolvere repentinamente il bug, altrimenti aspetti la nuova versione di imminente uscita. ;)

http://git.videolan.org/?p=vlc.git;a=commitdiff;h=e60a9038b13b5eb805a76755efc5c6d5e080180f;hp=353a8120fb4b4ae66e4a21e7d2efc5e5383fba28#patch1

anche secunia riporta la stessa dicitura:

Fixed in the GIT repository

se ho capito bene, è disponibile qualche riga di codice da implementare nel sorgente per risolvere repentinamente il bug, altrimenti aspetti la nuova versione di imminente uscita. ;)



ehm...speriamo bene, perchè a mettere le mani nei sorgenti ancora non sono molto pratico :stordita: :fagiano:

uscita ufficialmente la versione 1.00 del player, maggiori info, a questo indirizzo:

VLC Media Player 1.00 disponibile per il download (http://www.hwupgrade.it/forum/showthread.php?t=2012710) su hwupgrade.it