videolanVideolan è nuovamente preso di mira, il popolare video e audio player open source ha una vulnerabilità che permette ad un attacker la scrittura e esecuzione di codice arbitrario da files RealMedia (i files RealMedia sono quelli di RealPlayer). La vittima deve scaricare e aprire una file RealMedia oppure visitare un web site che trasmette uno stream RealMedia modificato.

Il security advisory dice che il problema è causato da un heap overflow nel modulo demuxreal.c. Un update alla versione 0.9.7 di VLC dovrebbe risolvere il probolema. In alternativa il Team di Videolan consiglia la rimozione del plugin libreal_plugin.* dalla directory di installazione di Videolan.

Summary : Buffer overflow in Real demuxer
Date : November 2008
Affected versions : VLC media player 0.9.6 down to 0.9.0
ID : VideoLAN-SA-0811
CVE reference : CVE-2008-5276

Details
When parsing the header of an invalid Real Media file an integer overflow might occur then trigger a heap-based buffer overflows.
Impact
If successful, a malicious third party could trigger execution of arbitrary code within the context of the VLC media player.
Threat mitigation
Exploitation of this issue requires the user to explicitly open a specially crafted file.
Workarounds
The user should refrain from opening files from untrusted third parties or accessing untrusted remote sites (or disable the VLC browser plugins), until the patch is applied.
Alternatively, the Real demuxer plugin (libreal_plugin.*) can be removed manually from the VLC plugin installation directory.
Solution
VLC media player 0.9.7 addresses this issue. Patches for older versions are available from the official VLC source code repository 0.9-bugfix branch.

In view of the large number of critical vulnerabilities discovered in VLC recently, users should perhaps consider an alternative media player. Admittedly, the VLC’s network and streaming capabilities make it difficult to replace, but if you do not need these functions and need a media player to just replay films stored on your system, then an alternative player may be more suitable.

Visto il gran numero di vulnerabilità riscontrate di recente in VLC, Heise Online consiglia d’adottare in via temporanea un player sostitutivo. Heise Online ammette che le caratteristiche di rete e di streaming offerte da VLC sono difficili da rimpiazzare ma, chi non ha bisogno di tali features e utilizzi il player solo per la visione di film archiviati nel proprio PC farebbe bene a trovare in via temporanea un sostituto.

Attenzione ! Abbiamo cambiato dominio !

Prosegui la lettura su Pausa Web !