Kritikus sebezhetőségek a VLC-ben és az FFmpeg-ben

 ( trey | 2009. szeptember 23., szerda - 9:36 )

A VLC fejlesztői egy hibajegyet adtak ki a minap, amelyben arra figyelmeztetnek, hogy a népszerű médialejátszóval történő, bizonyos MP4, ASF vagy AVI fájlok lejátszása esetén stack overflow következhet be. A probléma sikeres kihasználása esetén a rosszindulatú támadó akár tetszőleges kódot is végrehajthat a VLC kontextusában. Az érintett VLC verziókkal rendelkező felhasználóknak célszerű a nem megbízható forrásból származó médiafájlokat és weboldalakat kerülni. Workaround lehet a megadott demuxer pluginek eltávolítása a plugin könyvtárból. A VLC 1.0.2-es verziójában már javították a problémát. A hibajegy itt.

A Secunia arra figyelmeztet, hogy a széles körben használt FFmpeg-ben több biztonsági problémát - NULL pointer deref, heap overflow, ... - is felfedeztek. A hibák sikeres kihasználása esetén szolgáltatás-megtagadást (DoS), alkalmazás-összeomlást lehet előidézni, illetve potenciálisan az áldozat rendszeréhez is hozzá lehet férni. A Secunia szerint a problémák jelen vannak a 0.5-ös verzióban, de más verziók is érintettek lehetnek. A javítás helyzete jelenleg: "partial fix". Arról nincs információ a Secunia bejelentésében, hogy a SVN/git repókban pontosan melyik probléma került eddig javításra. A javításig érdemes tartózkodni a nem megbízható forrásból származó fájlok megnyitásától.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Mulatsagos. Win7, VLC 1.0.1, ranyomtam a Sugo/Ftrissitesek keresese gombja es aszongya, a legfrissebb verziot hasznalom. Pedig a weblapon mar kint van az 1.0.2.

hmmm, no ezért jobb az apt-get dist-upgrade :) Az már fel is tolta...
üdv: pomm

Erdekes. Nekem (SID), 1.0.1-2+b1 az elerheto legfrissebb, jelenleg az 1.0.1-1+b1 van fent.
http://packages.debian.org/changelogs/pool/main/v/vlc/vlc_1.0.1-2/changelog

Több év debian sid után a hasonló "apróságok" miatt tértem át ubuntura... üdv: pomm