Punto informatico Network
20080917125533_1810699765_20080917125436_736708837_VLC.png

S3M e MP4 possono essere letali per VLC media player

12/04/2011
- A cura di
Zane.
Sicurezza - Il popolare software open source mostra il fianco a due problemi di sicurezza differenti, sia su Windows, sia su Mac. La correzione è pronta, ma non ancora disponibile al grande pubblico.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

media player (1) , player (1) , mp4 (1) , vlc (1) , vlc media player (1) , media (1) .

Valutazione

  •  
Voto complessivo 3.5 calcolato su 7 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Cattive notizie per gli utenti del lettore multimediale VLC media player: negli ultimi giorni sono infatti state scoperte due distinte vulnerabilità che potrebbero consentire ad un cracker di prendere pieno controllo da remoto del computer della vittima semplicemente persuadendo l'obbiettivo ad aprire un file malformato con il programma.

La prima falla risiede nella libreria libmodplug (sviluppata da terzi) e, più in particolare, nella funzione CSoundFile: : ReadS3M () dedicata alla gestione del formato S3M. Il codice non valida correttamente alcuni parametri prima di caricarli in memoria, permettendo all'aggressore di sovrascrivere lo stack con codice eseguibile (stack overflow).

Il secondo difetto interessa invece il decoder MP4 (MPEG-4 Part 14) veicolato dal file libmp4_plugin. Anche in questo caso, il baco è dovuto ad una insufficiente validazione del file prima del caricamento in memoria, ma, questa volta, il rischio è quello di una sovrascrittura della sezione heap della memoria (heap overflow).

Entrambi i difetti sono presenti anche nella compilazione più recente del software, ovvero la 1.1.8, sia su Windows, sia su Mac OS X.

VideoLAN, la software house alle spalle del programma, ha già implementato le correzioni per entrambi i difetti nel codice sorgente dell'applicazione: i nuovi byte saranno presto disponibili sottoforma dell'update 1.1.9.

VLC media player 1.1.9 è ora disponibile e liberamente scaricabile da qui.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    © Copyright 2018 BlazeMedia srl - P. IVA 14742231005

    • Gen. pagina: 0.13 sec.
    •  | Utenti conn.: 39
    •  | Revisione 2.0.1
    •  | Numero query: 42
    •  | Tempo totale query: 0