[NEWS] VLC Media Player XSPF Processing Memory Corruption Vulnerability

c.m.g · 16-10-2008, 11:19

15 ottobre 2008

La società di sicurezza Secunia riporta un Advisory (SA32267) in cui si spiega che è stata trovata una vulnerabilità in VLC media player 0.x, giudicata dalla stessa come Highly critical, il quale potenzialmente potrebbe essere usata da malintenzionati per compromettere il sistema di un utente ignaro.

La vulnerabilità è causata in un errore insito nella funzione "parse_track_node()" nel modulo /demux/playlist/xspf.c. Questa falla può essere sfruttata per corrompere la memoria attraverso file XSPF creati ad hoc da malintenzionati contenenti un attributo di "identificatore" negativo.

Lo sfruttamento con successo potrebbe portare all'esecuzione arbitraria di codice malevolo.

La vulnerabilità è stata confermata nelle versione antecedenti la 0.9.3.

Soluzione:
Aggiornare alla versione 0.9.3 o successivi.

Falla scoperta da:
Falla fixata senza avvisi pubblici dal produttore del software nella versione 0.9.3.
Falla riportata dai seguenti ricercatori: Francisco Falcon, Core Security Technologies.

Advisory d'origine:
Core Security Technologies:
http://www.coresecurity.com/content/...ory-corruption

Fonte: Secunia

c.m.g · 17-10-2008, 21:13

ripreso da security focus:

http://www.securityfocus.com/bid/31758

17-10-2008, 23:24

ultimamente vlc almeno a giudicare dalle news di sezione sembra riportare più di un problema di sicurezza...solo una ricerca in questa sezione evidenzia 13 risultati in pochi mesi
da qualche lettura qua e la mi par di aver capito che sono a corto di sviluppatori per windows (qualcuno dice che nuove versioni potrebbero essere a rischio...poi è tutto da vedere)

forse meglio kmplayer in questo momento
http://www.kmplayer.com/forums/showthread.php?t=11351

16-10-2008, 11:19	#1
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22114	[NEWS] VLC Media Player XSPF Processing Memory Corruption Vulnerability 15 ottobre 2008 La società di sicurezza Secunia riporta un Advisory (SA32267) in cui si spiega che è stata trovata una vulnerabilità in VLC media player 0.x, giudicata dalla stessa come Highly critical, il quale potenzialmente potrebbe essere usata da malintenzionati per compromettere il sistema di un utente ignaro. La vulnerabilità è causata in un errore insito nella funzione "parse_track_node()" nel modulo /demux/playlist/xspf.c. Questa falla può essere sfruttata per corrompere la memoria attraverso file XSPF creati ad hoc da malintenzionati contenenti un attributo di "identificatore" negativo. Lo sfruttamento con successo potrebbe portare all'esecuzione arbitraria di codice malevolo. La vulnerabilità è stata confermata nelle versione antecedenti la 0.9.3. Soluzione: Aggiornare alla versione 0.9.3 o successivi. Falla scoperta da: Falla fixata senza avvisi pubblici dal produttore del software nella versione 0.9.3. Falla riportata dai seguenti ricercatori: Francisco Falcon, Core Security Technologies. Advisory d'origine: Core Security Technologies: http://www.coresecurity.com/content/...ory-corruption Fonte: Secunia __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

17-10-2008, 21:13	#2
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22114	ripreso da security focus: http://www.securityfocus.com/bid/31758 __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

17-10-2008, 23:24	#3
ShoShen Messaggi: n/a	ultimamente vlc almeno a giudicare dalle news di sezione sembra riportare più di un problema di sicurezza...solo una ricerca in questa sezione evidenzia 13 risultati in pochi mesi da qualche lettura qua e la mi par di aver capito che sono a corto di sviluppatori per windows (qualcuno dice che nuove versioni potrebbero essere a rischio...poi è tutto da vedere) forse meglio kmplayer in questo momento http://www.kmplayer.com/forums/showthread.php?t=11351 Ultima modifica di ShoShen : 18-10-2008 alle 02:03.

Strumenti
Mostra una versione stampabile Invia questa pagina per email