Ejecución de código arbitrario en VLC Player


Se ha publicado una vulnerabilidad en VLC Player que podría permitir a un atacante ejecutar código arbitrario si convence a un usuario para reproducir un archivo OGG especialmente manipulado.





VLC Media Player es un completo reproductor multimedia que soporta un gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de streaming. Además está disponible para un amplio número de plataformas distintas como Windows, Mac OS X y para varias distribuciones de Linux. VLC también puede ser utilizado como servidor en unicast o multicast, en IPv4 o IPv6, para una red de banda ancha y tiene disponible un plug-in para Firefox que permite ver algunos archivos Quicktime y Windows Media desde páginas web sin necesidad de utilizar los reproductores de Apple o Microsoft.

Se ha publicado una actualización que corrige vulnerabilidad con identificador CVE-2012-3377. El error se encuentra localizado en la función "Ogg_DecodePacket" del archivo "modules/demux/ogg.c" y produce un desbordamiento de memoria basada en heap, dejando la posibilidad de ejecución de código arbitrario.

Para aprovechar esta vulnerabilidad, un atacante debe un archivo especialmente manipulado y lograr que la víctima lo intente reproducir.

Este fallo ha sido arreglado en la versión 2.0.2 de VLC Player.

Más información:

ogg: Fix a heap buffer overflow
https://bugs.launchpad.net/ubuntu/+source/vlc/+bug/1020403

Fuente:
Daniel Vaca
http://hispasec.com



Otras noticias de interés:

El Evangelio de Tux (Linux), ha sido desenterrado.
Cada generación tiene una mitología. Cada milenio tiene un día del Juicio Final. Cada leyenda lleva el nudo de la distorsión hasta que el orador se funde. ...
Ataques de inyección SQL acaparan interés
Cada vez son más los piratas informáticos que muestran su interés por llevar a cabo sus acciones delictivas a través de ataques de inyección SQL. Así lo desvela el Informe Hacker Intelligence Initiative realizado por Imperva....
Dispositivos USB en la empresa y el posible riesgo de infección de malware
Muchas de Las pymes están pagando un alto precio por la conveniencia y comodidad de utilizar las unidades USB. Hoy vamos a ver los dispositivos USB en la empresa y el posible riesgo de infección de malware. Y es que mientras los ataques maliciosos ...
Los internautas venezolanos navegan cada vez más a pesar de crisis
Los internautas venezolanos se han visto obligados a sortear obstáculos para encontrar la forma de mantenerse conectados a Internet, a pesar de la aguda crisis económica que atraviesa el país sudamericano. ...
Apple confirma un error en la actualización de Leopard
Apple ha confirmado la existencia de un error que impide a algunos usuarios actualizar sus máquinas Leopard Mac OS X utilizando el mecanismo automatizado de actualización de software integrado en el sistema...
Descubierta una nueva brecha de día cero en Safari
El navegador Safari de Apple contiene un agujero de seguridad crítico y no parcheado que los atacantes están aprovechando para infectar PC Windows con código malicioso, según US-CERT y varias firmas de seguridad. ...
W3C: HTML5 muestra su nuevo logo
HTML 5 (HyperText Markup Language, versión 5) es la quinta revisión importante del lenguaje básico de la World Wide Web, HTML. HTML 5 especifica dos variantes de sintaxis para HTML: un «clásico» HTML (text/html), la variante conocida como HTML5...
Adobe Flash Player 10.1 permitirá modo porno/navegación privada
La siguiente gran actualización de Adobe Flash Player, 10.1, permitirá la navegación privada en los navegadores soportados. Gracias a ello borrará el historial flash de tu ordenador una vez se acabe la sesión de navegación....
Problemas con los accesos directos de Windows
Se ha detectado un problema en el manejo de accesos directos de Windows. Si se crea uno de forma maliciosa, puede provocarse la caída del explorer.exe (shell32.dll). Esta vulnerabilidad ha sido probada en 98, 2000 Server y 2000 Professional....
Vulnerabilidad en Microsoft Powerpoint confirma una nueva tendencia
El pasado día 12 de julio se anunciaba una nueva vulnerabilidad en PowerPoint que podía ser aprovechada por atacantes para ejecutar código arbitrario. Como viene siendo habitual, y en lo que se está convirtiendo en una nueva tendencia, aparec...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • arbitrario
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • codigo
  • computer
  • debian
  • ejecucion
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • player
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vlc
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra