Desbordamiento de búfer en VLC Media Player

Se ha descubierto una vulnerabilidad en el reproductor de archivos multimedia VLC 1.0.5 que podría ser aprovechada por un atacante remoto para ejecutar código arbitrario.

VLC Media Player es un completo reproductor multimedia que soporta un gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de streaming. Además está disponible para un amplio número de plataformas distintas como Windows, Mac OS X y para varias distribuciones de Linux. VLC también puede ser utilizado como servidor en unicast o multicast, en IPv4 o IPv6, para una red de banda ancha y tiene disponible un plug-in para Firefox que permite ver algunos archivos Quicktime y Windows Media desde páginas web sin necesidad de utilizar los reproductores de Apple o Microsoft.

El problema reside en un desbordamiento de búfer en el tratamiento de URLs ftp:// con archivos M3U específicamente creadas. Esto puede ser explotado por atacantes remotos para lograr la ejecución de código y comprometer los sistemas afectados.

Se ve afectada la versión 1.0.5.  La nueva versión 1.1.0 no está afectada. La solución lógica para acabar con él problema sería actualizar a la última edición. Además, descargando  VLC 1.1.0, no sólo evitaremos el fallo de seguridad, sino que también podremos visualizar vídeos en formato WebM.

Recomendamos actualizar a esta la última versión de uno de los mejores reproductores multimedia del mercado, descargándolo desde aquí
Fuente

saludos

ms, 12-7-2010