Opublikowano poprawioną wersję programu VLC media player w wersji 1.0.2. Załatano w niej kilka luk bezpieczeństwa.
W programie, a w zasadzie w jego pluginach odkryto możliwość przemycenia szkodliwego kodu w specjalnie spreparowanych plikach. Dzięki tym plikom dochodziło do jakże popularnego przepełnienia bufora, w wyniku którego istniała możliwość wykonywania szkodliwego kodu. Błąd występował w dodatkach odpowiedzialnych za demuksowanie strumieni MP4, AVVI oraz ASF.
Zamiast dokonywać aktualizacji, można także usunąć pluginy libmp4_plugin.*, libavi_plugin.* i libasf_plugin.*.
Kod źródłowy nowej wersji można już
pobrać ze strony tego otwartego projektu.
Niestety znaleziono także błędy w bibliotece FFmpeg. To z niej korzysta między innymi także VLC. W pakiecie tym znaleziono wiele przeróżnych błędów, w tym przepełnienia sterty. Wszystkie one umożliwiają na spowodowanie szeregu usterek, w tym do zawieszenia systemu. Część z nich została już naprawiona. Wszystkie one dotyczą wersji 0.5 narzędzia.
Źródło:
heise-online
