La segunda vulnerabilidad en el proyecto “Month of Apple Bugs” es una vulnerabilidad de cadena de formato de VLC Media Player udp://
VideoLAN es un proyecto de software, que produce software gratuito para vídeo, editado bajo la GNU General Public License. El producto principal es la multiplataforma reproductor de medios VLC. El reproductor de medios VLC es un reproductor multimedia muy portátil para varios formatos de audio y de vídeo (MPEG1, MPEG2, MPEG4, DivX, mp3, ogg…) así como DVDs, VCDs, y varios protocolos. También puede usarse como un servidor para pasar en unidifusión o multidifusión en IPv4 o IPv6 sobre una red de ancho de banda alto.
Existe una vulnerabilidad de cadena de formato en el proceso de tratamiento del udp:// URL. Suministrando una cadena hecha especialmente, un atacante remoto podría causar una condición de ejecución de código arbitraria, bajo los privilegios del usuario que ejecuta VLC.
Este problema se ha explotado con éxito en VLC versión 0.8.6 para Mac OS X. Las versiones anteriores y otras plataformas podrían estar afectadas.
Fuente: Macintouch
solo una???????????
pero si VLC es TODO FALLOS!!!!!!!!!!!!11
VLC no lo hace Apple. Eso no es culpa de Apple.
“podría causar una condición de ejecución de código arbitraria, bajo los privilegios del usuario que ejecuta VLC.”
Es decir, que por muy bien que se hiciera el ataque, no podria dañar el sistema , ya que nadie ejecuta VLC en modo Root. Aun asi es bueno corregirlo.
Por otra parte veo bien que se hagan este tipo de cosas, solo traen beneficios, ya que se solucionan los bugs. Seguro que en pocos dias tenemos la version de VLC corrgida :).
Tambien es buena señal que de momento no haya ni un solo error critico , y ninguno que tenga que ver con el Sistema Operativo 🙂
Dicho y hecho. Ya hay una nueva versión de VLC (0.8.6a) que corrige el fallo.