Cabecera-v2-web.jpg

Ejecución de código en VLC Media Player


Se ha confirmado una vulnerabilidad en el reproductor multimedia VLC Media Player (versiones 2.2.3 y anteriores), que podrí­an permitir a atacantes remotos lograr comprometer los sistemas que ejecuten este conocido programa.


vlc_logo.png

VLC Media Player es un completo reproductor multimedia que soporta un gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD entre otros, así­ como varios protocolos de streaming. Además está disponible para un amplio número de plataformas distintas como Windows, Mac OS X y para varias distribuciones de Linux. VLC también puede ser utilizado como servidor en unicast o multicast, en IPv4 o IPv6, para una red de banda ancha.

El problema (con CVE-2016-5108) se debe a una escritura fuera de lí­mites en modules/codec/adpcm.c, en la función DecodeAdpcmImaQT; debido a que no se comprueba que el número de canales en el flujo de entrada es menor o igual el tamaño del búfer. Podrí­a emplearse para lograr denegaciones de servicio o incluso ejecutar código arbitrario a través de archivos QuickTime IMA manipulados.


VLC ha confirmado el problema que quedará corregido en las versiones 2.2.4 y 3.0.0 de VLC.


Fuente: hispasec.com


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11