vlc

VLC Media Player es un reproductor multimedia de código abierto desarrollado por VideoLAN Proyect, el cual soporta múltiples formatos como MP3, MP4, MPEG, DIVX, VCD, DVD, DVB, MKV y FLV (y muchos más). Este reproductor está disponible para diversas plataformas y sistemas operativos.

Con fecha del 7 de Diciembre del 2012, ha sido publicada una vulnerabilidad en el reproductor multimedia VLC Media Player la cual podría permitir la ejecución de código de forma remota.

El investigador Kaveh Ghaemmaghami ha descubierto una vulnerabilidad en el reproductor VLC al procesar archivos FLV (Flash) (Secunia Advisory ID: SA51464). La vulnerabilidad se debe a un error de desbordamiento de búfer al acceder a un objeto de imagen en memoria ya eliminado, durante la decodificación de vídeo en formato Flash. Esto provocaría una referencia a la memoria ya liberada que podría ser utilizada por personas maliciosas para causar una denegación de servicio y potencialmente ejecutar código arbitrario comprometiendo al sistema del usuario.

La vulnerabilidad ha sido confirmada en la versión 2.0.4 (la última versión disponible del reproductor), aunque se aclara que otras versiones también podrían ser vulnerables. No existe una solución oficial por el momento y tampoco se le ha asignado a esta vulnerabilidad ningún identificador CVE, sin embargo para demostrarla Kaveh Ghaemmaghami ha publicado una prueba de concepto.

Fuente: hispasec.com