Ejecución de código arbitrario en VLC Player


Se ha publicado una vulnerabilidad en VLC Player que podría permitir a un atacante ejecutar código arbitrario si convence a un usuario para reproducir un archivo OGG especialmente manipulado.





VLC Media Player es un completo reproductor multimedia que soporta un gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de streaming. Además está disponible para un amplio número de plataformas distintas como Windows, Mac OS X y para varias distribuciones de Linux. VLC también puede ser utilizado como servidor en unicast o multicast, en IPv4 o IPv6, para una red de banda ancha y tiene disponible un plug-in para Firefox que permite ver algunos archivos Quicktime y Windows Media desde páginas web sin necesidad de utilizar los reproductores de Apple o Microsoft.

Se ha publicado una actualización que corrige vulnerabilidad con identificador CVE-2012-3377. El error se encuentra localizado en la función "Ogg_DecodePacket" del archivo "modules/demux/ogg.c" y produce un desbordamiento de memoria basada en heap, dejando la posibilidad de ejecución de código arbitrario.

Para aprovechar esta vulnerabilidad, un atacante debe un archivo especialmente manipulado y lograr que la víctima lo intente reproducir.

Este fallo ha sido arreglado en la versión 2.0.2 de VLC Player.

Más información:

ogg: Fix a heap buffer overflow
https://bugs.launchpad.net/ubuntu/+source/vlc/+bug/1020403

Fuente:
Daniel Vaca
http://hispasec.com



Otras noticias de interés:

Wall Street se inclina por Linux - Viva Linux
Las agencias de bolsa están empezando a adoptar Linux como sistema operativo por su comodidad de uso y la flexibilidad entre sistemas....
Actualización de seguridad de Google Chrome
Google ha publicado una nueva versión (17.0.963.56) destinada a corregir trece vulnerabilidades para las plataformas Microsoft Windows, Macintosh y Linux de su navegador webChrome....
Error en proceso de MIME productos Microsoft
Procesar S/MIME en Microsoft Office, Outlook y Live Mail podría provocar el acceso a URLs arbitrarias, se ha encontrado una vulnerabilidad provocada por un fallo de diseño a la hora de procesar el cifrado S/MIME en Microsoft Office, Outlook y Windo...
Usuarios demandan a Facebook por sus políticas de privacidad
Un grupo de usuarios del sitio Facebook presentó una demanda en los tribunales de California, acusándola de hacer mal uso de la información personal que se ingresa en esta red social....
Publicada lista con los 25 errores de código más peligrosos
La mayoría de las vulnerabilidades que los hackers aprovechan para atacar sitios Web y servidores corporativos son generalmente el resultado de errores de programación comunes y bien conocidos. Para paliar este problema, un grupo de compañías ha ...
El software apócrifo
Esto del software cada día se va pareciendo más a los evangelios según el santo de turno. Como la iglesia, dicen que Dios sólo hay uno -aunque sea trino- y que aquella es la única representante oficial y válida de la divinidad y que, cualquier ...
Smartphones amenazas de seguridad para empresas
Ya es conocido que los teléfonos celulares inteligentes (smartphones) incorporan cada vez más funcionalidades que le permiten al usuario poder contar con un amplio abanico de herramientas. Pero también existe el riesgo de que diferentes empleados ...
Primer paso para el Internet Cuántico
Un experimento realizado por físicos del Instituto Niels Bohr ha demostrado que la luz posee una memoria cuántica capaz de comunicaciones mucho más rápidas y seguras a través de Internet. Han conseguido almacenar...
IBM eleva seguridad con chip codificador
Con la intención de elevar el nivel de seguridad de la información en las computadoras portátiles, teléfonos celulares y otros artefactos, IBM presentará un método para insertar funciones codificadoras en los circuitos de las máquinas....
Varias vulnerabilidades en Opera 9.x
Se han descubierto dos vulnerabilidades en Opera que podrían ser aprovechadas por un atacante para realizar ataques por cross site scripting y comprometer el sistema. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • arbitrario
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • codigo
  • computer
  • debian
  • ejecucion
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • player
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vlc
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra