Kritikus sebezhetőségek a VLC-ben és az FFmpeg-ben

Bug

A VLC fejlesztői egy hibajegyet adtak ki a minap, amelyben arra figyelmeztetnek, hogy a népszerű médialejátszóval történő, bizonyos MP4, ASF vagy AVI fájlok lejátszása esetén stack overflow következhet be. A probléma sikeres kihasználása esetén a rosszindulatú támadó akár tetszőleges kódot is végrehajthat a VLC kontextusában. Az érintett VLC verziókkal rendelkező felhasználóknak célszerű a nem megbízható forrásból származó médiafájlokat és weboldalakat kerülni. Workaround lehet a megadott demuxer pluginek eltávolítása a plugin könyvtárból. A VLC 1.0.2-es verziójában már javították a problémát. A hibajegy itt.

A Secunia arra figyelmeztet, hogy a széles körben használt FFmpeg-ben több biztonsági problémát - NULL pointer deref, heap overflow, ... - is felfedeztek. A hibák sikeres kihasználása esetén szolgáltatás-megtagadást (DoS), alkalmazás-összeomlást lehet előidézni, illetve potenciálisan az áldozat rendszeréhez is hozzá lehet férni. A Secunia szerint a problémák jelen vannak a 0.5-ös verzióban, de más verziók is érintettek lehetnek. A javítás helyzete jelenleg: "partial fix". Arról nincs információ a Secunia bejelentésében, hogy a SVN/git repókban pontosan melyik probléma került eddig javításra. A javításig érdemes tartózkodni a nem megbízható forrásból származó fájlok megnyitásától.

( Celtic v | 2009. 09. 23., sze – 13:49 )

Mulatsagos. Win7, VLC 1.0.1, ranyomtam a Sugo/Ftrissitesek keresese gombja es aszongya, a legfrissebb verziot hasznalom. Pedig a weblapon mar kint van az 1.0.2.