Punto informatico Network

Raccoglitore, quaderno, buchi, buco

VLC media player, il lettore coi buchi

25/03/2008
- A cura di
Archivio - Uno dei lettori multimediali più diffusi e apprezzati scopre il fianco a due pericolose vulnerabilità di sicurezza, potenzialmente sfruttabili da malintenzionati desiderosi di gettare scompiglio nei sistemi compromessi. Aggiornare il programma all'ultima versione purtroppo non risolve del tutto il problema.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

media player (1) , player (1) , lettore (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 201 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

VLC_logo.jpgNon è solo il mondo Windows, e più in generale Microsoft, a essere vittima costante di problemi di sicurezza con la conseguente necessità di installare patch e affini. L'ultimo bollettino che descrive scenari a tinte fosche per PC in preda ad hacker e soliti noti arriva dritto dal mondo dell'open source e riguarda in particolare il ben noto VLC media player, lettore multimediale disponibile per ogni genere di piattaforma e dotato della particolare caratteristica di saper processare un gran numero di codec audio-video senza l'obbligo di supporto esterno da parte del sistema operativo.

VLC, già scaricato da oltre 69 milioni di utenti "power" e non solo, è affetto da alcune vulnerabilità classificate come Highly critical da Secunia. La prima riguarda la presenza di errori nella gestione dei file di sottotitoli, sfruttabili per generare errori di buffer overflow nel software. Nella seconda il problema è stato individuato nel formato di stringa dell'interfaccia web in ascolto sulla porta 8080 del protocollo TCP, utilizzabile grazie a una richiesta HTTP con un header specificatamente progettato.

In tutti e due i casi, un hacker in grado di sfruttare le falle potrebbe caricare ed eseguire codice da remoto. Affette dal problema sono tutte le versioni precedenti alla 0.8.6e, vale a dire l'ultima disponibile per il download sul sito web del progetto. I fix introdotti nella suddetta release sono ad ogni modo soltanto parziali, e se la vulnerabilità numero due sembra risolta ancora sussistono gli errori nella gestione dei file di sottotitoli.

In attesa di una soluzione adeguata al problema, il consiglio è naturalmente quello di stare alla larga dai suddetti file e attendere una versione futura in grado di chiudere una volta per tutte la questione. Eventualmente ci si può fare un giro anche sul portale delle nightly build del player, tenendo bene a mente che si tratta di versioni instabili prive del supporto ufficiale da parte del team di sviluppo. Maggiori informazioni sulle vulnerabilità sono infine disponibili nell'advisory di Secunia.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.35 sec.
    •  | Utenti conn.: 82
    •  | Revisione 2.0.1
    •  | Numero query: 20
    •  | Tempo totale query: 0.23