Cabecera-v2-web.jpg

Ejecución de código en VLC Media Player


Se ha confirmado una vulnerabilidad en el reproductor multimedia VLC Media Player que podrí­a permitir la ejecución de código arbitrario.

vlc.jpg

VLC Media Player es un completo reproductor multimedia que soporta un gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD entre otros, así­ como varios protocolos de streaming. Además está disponible para un amplio número de plataformas distintas como Windows, Mac OS X y GNU/Linux. VLC también puede ser utilizado como servidor en unicast o multicast, en IPv4 o IPv6, para una red de banda ancha.

El error es debido a un acceso a memoria previamente liberada ('use-after-free') al reproducir un fichero MKV malicioso, que podrí­a permitir la ejecución de código arbitrario en el contexto del usuario.

Se propone como prueba de concepto (PoC) un script escrito en Python que genera un fichero MKV que permite lanzar la Calculadora de Windows ('calc.exe'):


Se ha asignado el identificador CVE-2018-11529 a esta vulnerabilidad que afecta a las versiones de VLC 2.2.8 y anteriores tanto para 32 bits como para 64 bits.

Se recomienda instalar la última versión disponible (en estos momentos, la 3.0.3) desde la página oficial.


Fuente: hispasec.com


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11