Problem wykryty został przez włoskiego specjalistę ds. bezpieczeństwa, Luigi'ego Auriemma. Z jego analiz wynika, ze błąd dotyczy modułu odpowiedzialnego za parsowanie plików - pozwala on na wczytanie napisów, których wyświetlenie spowoduje błąd przepełnienia bufora i umożliwi "napastnikowi" uruchomienie w systemie dowolnego złośliwego kodu.

Luka występuje w VLC niezależnie do tego, dla jakiego systemu operacyjnego jest on przeznaczony - problem dotyczy zarówno wersji dla Windows, jak i Linuksa oraz Mac OS X. Jako pierwszy tę lukę wykrył już w lutym Michał Łuczaj - zespół odpowiedzialny za rozwój VLC Playera poinformował, że problem został usunięty w wersji 0.8.6d. Luigi Auriemma wykrył jednak, że błąd dotyczy również i tego wydania - aby tego dowieść, stworzył działający exploit. Nie do końca załatana jest również najnowsza wersja - 0.8.6e.

Specjaliści z duńskiej firmy Secunia - monitorującej informacje o lukach w popularnych aplikacjach - uznali błąd w VLC Playerze za "wysoce" krytyczny. Jako, że producent aplikacji nie przygotował na razie odpowiedniego uaktualnienia, użytkownikom zaleca się daleko idącą ostrożność w postępowaniu z napisami z nieznanego źródła.

 

Więcej informacji znaleźć można na stronie Secunia.com.

---

żródło - computerworld.pl