Ejecución de código arbitrario en VLC Player

LC Media Player es un completo reproductor multimedia que soporta un gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de streaming. Además está disponible para un amplio número de plataformas distintas como Windows, Mac OS X y para varias distribuciones de Linux. VLC también puede ser utilizado como servidor en unicast o multicast, en IPv4 o IPv6, para una red de banda ancha y tiene disponible un plug-in para Firefox que permite ver algunos archivos Quicktime y Windows Media desde páginas web sin necesidad de utilizar los reproductores de Apple o Microsoft.

Se ha publicado una actualización que corrige vulnerabilidad con identificador CVE-2012-3377. El error se encuentra localizado en la función "Ogg_DecodePacket" del archivo "modules/demux/ogg.c" y produce un desbordamiento de memoria basada en heap, dejando la posibilidad de ejecución de código arbitrario.

Para aprovechar esta vulnerabilidad, un atacante debe un archivo especialmente manipulado y lograr que la víctima lo intente reproducir.

Este fallo ha sido arreglado en la versión 2.0.2 de VLC Player.

Más información:

ogg: Fix a heap buffer overflow https://bugs.launchpad.net/ubuntu/+source/vlc/+bug/1020403