"Napisowa" dziura w VLC
- Daniel Cieślak,
- 19.03.2008, godz. 12:41
W zabezpieczeniach VLC Playera - popularnego darmowego odtwarzacza filmów - znaleziono poważny błąd, mogący posłużyć do nieautoryzowanego przejęcia kontroli nad komputerem, w którym uruchomiony jest VLC. Luka związana jest z obsługą plików z napisami do filmów.
Problem wykryty został przez włoskiego specjalistę ds. bezpieczeństwa, Luigi'ego Auriemma. Z jego analiz wynika, ze błąd dotyczy modułu odpowiedzialnego za parsowanie plików - pozwala on na wczytanie napisów, których wyświetlenie spowoduje błąd przepełnienia bufora i umożliwi "napastnikowi" uruchomienie w systemie dowolnego złośliwego kodu.
Luka występuje w VLC niezależnie do tego, dla jakiego systemu operacyjnego jest on przeznaczony - problem dotyczy zarówno wersji dla Windows, jak i Linuksa oraz Mac OS X. Jako pierwszy tę lukę wykrył już w lutym Michał Łuczaj - zespół odpowiedzialny za rozwój VLC Playera poinformował, że problem został usunięty w wersji 0.8.6d. Luigi Auriemma wykrył jednak, że błąd dotyczy również i tego wydania - aby tego dowieść, stworzył działający exploit. Nie do końca załatana jest również najnowsza wersja - 0.8.6e.
Specjaliści z duńskiej firmy Secunia - monitorującej informacje o lukach w popularnych aplikacjach - uznali błąd w VLC Playerze za "wysoce" krytyczny. Jako, że producent aplikacji nie przygotował na razie odpowiedniego uaktualnienia, użytkownikom zaleca się daleko idącą ostrożność w postępowaniu z napisami z nieznanego źródła.
Więcej informacji znaleźć można na stronie Secunia.com.