Il mondo open source sembra essere al di sopra di ogni possibile minaccia e raramente arriva notizia di vulnerabilità riscontrate in quei prodotti che, per la vasta base di sviluppatori, sono ritenuti in linea di massima sicuri o quantomeno privi di gravi pericoli. VLC Media Player è l’eccezione che conferma la regola. Nonostante un’ultima patch di Febbraio scorso si può sfruttare una falla nel sistema con cui VLC processa i file dei sottotitoli e usarli per eseguire codice arbitrario.

Si tratta di un exploit in grado di avvantaggiarsi della creazione ad arte di un buffer overflow a partire dai sottotitoli.

In pratica, VLC consente di apripre in parallelo un qualsiasi file video e un separato file per i sottotitoli (il quale può anche essere un txt, l’importante è che sia formattato secondo lo standard del settore) e proprio nel momento in cui il file in questione viene processato è possibile avvantaggiarsi dell’overflow. Il tutto risulta valido sia in ambiente Windows che Mac che BSD.

Si pensa che il bug esisteva anche prima della patch rilasciata a Febbraio nella versione 0.8.6e. Quindi, evidentemente, il problema non è stato fissato a dovere. Luigi Auriemma, colui il quale ha segnalato il bug, ha
espresso la sua opinione: «La cosa divertente è che il mio vecchio exploit era
stato costruito proprio per testare questo tipo di buffer overflow e funziona
senza problemi anche sulla nuova versione di VLC».

Scritto da Pecciola

Dai visibilità al problema: