Luki bezpieczeństwa w popularnym odtwarzaczu filmów

Twórcy programu VLC media player opublikowali jego wersję 1.0.2 w postaci kodu źródłowego, która zamyka wiele krytycznych luk bezpieczeństwa. Okazuje się, że w plug-inach odpowiedzialnych za demultipleksację (demuksowanie) strumieni MP4, ABVI i ASF potencjalny napastnik może przy użyciu spreparowanych plików medialnych wywołać błąd przepełnienia bufora, a w konsekwencji przemycić i uruchomić własny kod

Oprócz aktualizacji w repozytorium znajdziemy również odpowiednie łaty. Alternatywnym rozwiązaniem proponowanym przez programistów jest ręczne usunięcie podatnych na ataki wtyczek libmp4_plugin.*, libavi_plugin.* i libasf_plugin.* w katalogu instalacyjnym - z tym że brak plug-inu do obsługi formatu AVI może nam odebrać przyjemność korzystania z odtwarzacza.

Ponadto specjalizująca się w sprawach zabezpieczeń firma Secunia ostrzega przed licznymi usterkami w wolnym oprogramowaniu FFmpeg. Jest to zestaw narzędzi i bibliotek służących do przetwarzania cyfrowych danych audio i wideo. Korzystają z niego między innymi takie programy jak VLC, MPlayer i xine. Zakres usterek sięga od błędów dereferencji pustego wskaźnika oraz błędów obsługi pamięci aż po przepełnienia sterty w funkcjach przetwarzania różnych formatów medialnych. Potencjalny napastnik może wykorzystać te luki do zawieszenia pracy systemu bądź jego skompromitowania. Według komunikatu błędy występują w oficjalnej wersji 0.5, z tym że niektóre z nich zostały już naprawione w repozytorium.

wydanie internetowe www.heise-online.pl