Anunciadas dos vulnerabilidades en el reproductor multimedia VLC Media Player (versiones 1.1.5 y anteriores), que permitirían a los ciberdelincuentes comprometer los sistemas que ejecuten el programa.
Introducción al software:
- VLC Media Player es reproductor multimedia que soporta formatos como : MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de streaming.
- Disponible en plataformas como Windows, Mac OS X y para varias distribuciones de Linux.
- VLC también puede ser utilizado como servidor en unicast o multicast, en IPv4 o IPv6, para una red de banda ancha y tiene disponible un plug-in para Firefox que permite ver algunos archivos Quicktime y Windows Media desde páginas web sin necesidad de utilizar los reproductores de Apple o Microsoft.
Detalles técnicos:
- Los problemas están provocados por errores en el indexado de matrices en las funciones "DecodeTileBlock()" y "DecodeScroll()" de modules/codec/cdg.c incluidas en el módulo decodificador CDG al procesar datos mal construidos.
- Un atacante remoto podría emplear estos fallos para lograr la ejecución de código arbitrario si consigue que un usuario reproduzca un archivo CD+G (CD+Graphics) o visite una página web específicamente creada.
Recomendaciones:
Se encuentra disponible una actualización que corrige los fallos en vía GIT :
http://git.videolan.org/?p=vlc.git;a=commit; h=f9b664eac0e1a7bceed9d7b5854fd9fc351b4aab
Fuente: Hispasec