Se ha descubierto una vulnerabilidad en el reproductor multimedia VLC (versiones 0.9.0 a 1.1.2) que podría ser aprovechada por un atacante remoto para ejecutar código arbitrario.
VLC Media Player es un reproductor multimedia que soporta un gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de streaming. Además se encuentra disponible para un amplio número de plataformas. VLC también llega a ser utilizado como servidor en unicast o multicast, en IPv4 o IPv6, para una red de banda ancha y tiene disponible un plug-in para Firefox que permite ver algunos archivos Quicktime y Windows Media desde páginas web sin necesidad de utilizar los reproductores de Apple o Microsoft.
El problema reside en un error de corrupción de memoria en la función "ReadMetaFromId3v2()" (de modules/meta_engine/taglib.cpp) incluida en el plugin TagLib cuando se extrae meta-información de etiquetas ID3v2. Un atacante podría aprovechar este problema para lograr ejecutar código arbitrario convenciendo a un usuario para que abra un archivo multimedia específicamente creado.
Si quieren más información pueden visitar http://www.hispasec.com/unaaldia/4314
No hay comentarios:
Publicar un comentario