Otras noticias
Más noticias
En el foro
Ir al foro de Seguridad
VULNERABILIDADES

Sobrescritura de archivos con skins de DivX Player

DivX Player es un reproductor gratuito de video para múltiples formatos, como .divx, .div, .avi, .tix, .mpg, .mpe, .mpeg, .m1v, .dat, .vob, .mp4, .dv, etc. Una vulnerabilidad del tipo "Directory trasversal Vulnerability", recientemente reportada en esta aplicación, puede ser explotada por un atacante remoto, para sobrescribir archivos en forma arbitraria o comprometer la seguridad del equipo que ejecute una versión vulnerable del programa.

24 Ene 2005 | VS ANTIVIRUS
L

a vulnerabilidad trasversal de directorio, generalmente es un problema causado por un error en la validación de las entradas de nombres de archivos. Especificando un nombre con la secuencia de caracteres ".." o "..%5C", es posible acceder a directorios superiores, diferentes a los asignados dentro del entorno controlado por la aplicación para recibir archivos, según publica VSantivirus.



El problema se produce al procesar los archivos de "pieles" (skins), utilizados para variar la apariencia de la ventana del reproductor.

Los archivos de skins (.DPS), son archivos .ZIP conteniendo todas las imágenes y el script necesario. Cuando el reproductor carga un skins, descomprime el .ZIP en una carpeta con el mismo nombre del archivo .DPS, dentro del directorio de archivos temporales de Windows.

Un atacante puede sobrescribir archivos en la máquina de la víctima usando un camino como el siguiente:

........windows otepad.exe

Crear un .ZIP para explotar esta vulnerabilidad es bastante sencillo.


Software afectado:

Son afectadas las versiones de DivX Player 2.6 y anteriores.


Solución:

Al momento actual, no existen soluciones del fabricante. Se recomienda no descargar archivos .DPS.


Referencias:

DivX Player "Skins" Arbitrary files overwriting Vulnerability
http://www.k-otik.com/english/advisories/2005/0050

DivX Player, arbitrary files overwriting through skins
http://aluigi.altervista.org/adv/divxplayer-adv.txt

DivX Player (página oficial)
http://www.divx.com/divx/player/

Boletín

Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.

Comentarios
LaFlecha.net no se hace responsable del contenido de los comentarios publicados.
Entérate de cuándo hay nuevos comentarios

No se permitirán los comentarios que :
- puedan resultar ofensivos o injuriosos
- incluyan insultos, alusiones sexuales innecesarias y palabras soeces o vulgares
- apoyen la pedofilia, el terrorismo o la xenofobia

Autor
Comentario
BBCode (Ayuda): [b], [i], [quote], [code]
Publicidad
Ahora en LaFlecha puedes encontrar cursos y másters