Non è solo il mondo Windows, e più in generale Microsoft, a essere vittima costante di problemi di sicurezza con la conseguente necessità di installare patch e affini. L'ultimo bollettino che descrive scenari a tinte fosche per PC in preda ad hacker e soliti noti arriva dritto dal mondo dell'open source e riguarda in particolare il ben noto VLC media player, lettore multimediale disponibile per ogni genere di piattaforma e dotato della particolare caratteristica di saper processare un gran numero di codec audio-video senza l'obbligo di supporto esterno da parte del sistema operativo.
VLC, già scaricato da oltre 69 milioni di utenti "power" e non solo, è affetto da alcune vulnerabilità classificate come Highly critical da Secunia. La prima riguarda la presenza di errori nella gestione dei file di sottotitoli, sfruttabili per generare errori di buffer overflow nel software. Nella seconda il problema è stato individuato nel formato di stringa dell'interfaccia web in ascolto sulla porta 8080 del protocollo TCP, utilizzabile grazie a una richiesta HTTP con un header specificatamente progettato.
In tutti e due i casi, un hacker in grado di sfruttare le falle potrebbe caricare ed eseguire codice da remoto. Affette dal problema sono tutte le versioni precedenti alla 0.8.6e, vale a dire l'ultima disponibile per il download sul sito web del progetto. I fix introdotti nella suddetta release sono ad ogni modo soltanto parziali, e se la vulnerabilità numero due sembra risolta ancora sussistono gli errori nella gestione dei file di sottotitoli.
In attesa di una soluzione adeguata al problema, il consiglio è naturalmente quello di stare alla larga dai suddetti file e attendere una versione futura in grado di chiudere una volta per tutte la questione. Eventualmente ci si può fare un giro anche sul portale delle nightly build del player, tenendo bene a mente che si tratta di versioni instabili prive del supporto ufficiale da parte del team di sviluppo. Maggiori informazioni sulle vulnerabilità sono infine disponibili nell'advisory di Secunia.
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati