logo

logo

Páginas vistas en total

Ejecución de código arbitrario en VLC Player
--------------------------------------------

Se ha publicado una vulnerabilidad en VLC Player que podría permitir a un
atacante ejecutar código arbitrario si convence a un usuario para reproducir
un archivo OGG especialmente manipulado.

VLC Media Player es un completo reproductor multimedia que soporta un gran
número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD entre otros,
así como varios protocolos de streaming. Además está disponible para un
amplio número de plataformas distintas como Windows, Mac OS X y para varias
distribuciones de Linux. VLC también puede ser utilizado como servidor en
unicast o multicast, en IPv4 o IPv6, para una red de banda ancha y tiene
disponible un plug-in para Firefox que permite ver algunos archivos
Quicktime y Windows Media desde páginas web sin necesidad de utilizar los
reproductores de Apple o Microsoft.

Se ha publicado una actualización que corrige vulnerabilidad con
identificador CVE-2012-3377. El error se encuentra localizado en la función
"Ogg_DecodePacket" del archivo "modules/demux/ogg.c" y produce un
desbordamiento de memoria basada en heap, dejando la posibilidad de
ejecución de código arbitrario.

Para aprovechar esta vulnerabilidad, un atacante debe un archivo
especialmente manipulado y lograr que la víctima lo intente reproducir.

Este fallo ha sido arreglado en la versión 2.0.2 de VLC Player.