Vulnerabilità critica in VLC Media Player

I ricercatori Secunia hanno rilevato una vulnerabilità altamente critica all’interno dell’ultima versione di VLC Media Player (ovvero la release 0.8.6h), il famoso lettore multimediale open source. Sfruttando tale falla, un utente malintenzionato potrebbe mettere a repentaglio la sicurezza dei sistemi che ospitano VLC, ottenendo il controllo totale delle macchine. Atteso il rilascio della versione 0.8.6i, in grado di correggere il problema.

La vulnerabilità rilevata da Secunia è rappresentata da un errore di tipo integer overflow all’interno della funzione Open( ) in modules/demux/wav.c; un file WAV opportunamente studiato, potrebbe così sfruttare tale falla per generare un heap-based buffer overflow. Una volta ottenuto l’exploit, un utente malintenzionato diverrebbe in grado di eseguire codice arbitrario all’interno della macchina posta sotto attacco.

VLC Media Player rappresenta comunque un valido player multimediale, in grado di rappresentare una vera alternativa ai lettori più blasonati; disponibile gratuitamente sotto GNU General Public License, è in grado di leggere un vasto repertorio di formati, tra cui MPEG-1, MPEG-2, MPEG-4, DivX, MP3, e OGG, nonché DVD , VCD e diversi protocolli di streaming. Disponibile per un vastissimo numero di piattaforme, il programma è in attesa di festeggiare il traguardo dei 90 milioni di download.