"Napisowa" dziura w VLC

W zabezpieczeniach VLC Playera - popularnego darmowego odtwarzacza filmów - znaleziono poważny błąd, mogący posłużyć do nieautoryzowanego przejęcia kontroli nad komputerem, w którym uruchomiony jest VLC. Luka związana jest z obsługą plików z napisami do filmów.

Problem wykryty został przez włoskiego specjalistę ds. bezpieczeństwa, Luigi'ego Auriemma. Z jego analiz wynika, ze błąd dotyczy modułu odpowiedzialnego za parsowanie plików - pozwala on na wczytanie napisów, których wyświetlenie spowoduje błąd przepełnienia bufora i umożliwi "napastnikowi" uruchomienie w systemie dowolnego złośliwego kodu.

Luka występuje w VLC niezależnie do tego, dla jakiego systemu operacyjnego jest on przeznaczony - problem dotyczy zarówno wersji dla Windows, jak i Linuksa oraz Mac OS X. Jako pierwszy tę lukę wykrył już w lutym Michał Łuczaj - zespół odpowiedzialny za rozwój VLC Playera poinformował, że problem został usunięty w wersji 0.8.6d. Luigi Auriemma wykrył jednak, że błąd dotyczy również i tego wydania - aby tego dowieść, stworzył działający exploit. Nie do końca załatana jest również najnowsza wersja - 0.8.6e.

Specjaliści z duńskiej firmy Secunia - monitorującej informacje o lukach w popularnych aplikacjach - uznali błąd w VLC Playerze za "wysoce" krytyczny. Jako, że producent aplikacji nie przygotował na razie odpowiedniego uaktualnienia, użytkownikom zaleca się daleko idącą ostrożność w postępowaniu z napisami z nieznanego źródła.

Więcej informacji znaleźć można na stronie Secunia.com.