Punto informatico Network

20080917125533_1810699765_20080917125436_736708837_VLC.png

S3M e MP4 possono essere letali per VLC media player

12/04/2011
- A cura di
Zane.
Sicurezza - Il popolare software open source mostra il fianco a due problemi di sicurezza differenti, sia su Windows, sia su Mac. La correzione è pronta, ma non ancora disponibile al grande pubblico.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

media player (1) , player (1) , mp4 (1) , vlc (1) , vlc media player (1) , media (1) .

Valutazione

  •  
Voto complessivo 3.5 calcolato su 7 voti

Cattive notizie per gli utenti del lettore multimediale VLC media player: negli ultimi giorni sono infatti state scoperte due distinte vulnerabilità che potrebbero consentire ad un cracker di prendere pieno controllo da remoto del computer della vittima semplicemente persuadendo l'obbiettivo ad aprire un file malformato con il programma.

La prima falla risiede nella libreria libmodplug (sviluppata da terzi) e, più in particolare, nella funzione CSoundFile: : ReadS3M () dedicata alla gestione del formato S3M. Il codice non valida correttamente alcuni parametri prima di caricarli in memoria, permettendo all'aggressore di sovrascrivere lo stack con codice eseguibile (stack overflow).

Il secondo difetto interessa invece il decoder MP4 (MPEG-4 Part 14) veicolato dal file libmp4_plugin. Anche in questo caso, il baco è dovuto ad una insufficiente validazione del file prima del caricamento in memoria, ma, questa volta, il rischio è quello di una sovrascrittura della sezione heap della memoria (heap overflow).

Entrambi i difetti sono presenti anche nella compilazione più recente del software, ovvero la 1.1.8, sia su Windows, sia su Mac OS X.

VideoLAN, la software house alle spalle del programma, ha già implementato le correzioni per entrambi i difetti nel codice sorgente dell'applicazione: i nuovi byte saranno presto disponibili sottoforma dell'update 1.1.9.

VLC media player 1.1.9 è ora disponibile e liberamente scaricabile da qui.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.12 sec.
    •  | Utenti conn.: 80
    •  | Revisione 2.0.1
    •  | Numero query: 18
    •  | Tempo totale query: 0