Na sequência de uma vulnerabilidade em um arquivo de mídia S3M, encontrada semana passada no media player VLC, uma nova consultoria alerta para um estouro de buffer durante a reprodução de arquivos MP4/MPEG-4. O bug relatado por Aliz Hammond, exige que um usuário abra um arquivo MP4 especialmente criado para tal finalidade nociva.
Segundo a Secunia, a vulnerabilidade é encontrada na função MP4_ReadBox_skcr () no demultiplexador, e é classificada como "altamente crítico". Todas as versões desde a 1.0.0 até à 1.1.8, são afetadas pelo problema.
As correções foram aplicadas à árvore de código-fonte e a questão será resolvida no VLC Media Player 1.1.9, quando ele for lançado. Os patches para as versões mais antigas também estão disponíveis para aqueles que compilarem seus próprios binários.
Os desenvolvedores da Videolan recomendam que os usuários não abram arquivos de terceiros não confiáveis e sites, até que o patch seja aplicado. Como alternativa, eles sugerem a remoção do libmp4_plugin.
Saiba Mais:
[1] Security Advisory 1103: http://www.videolan.org/security/sa1103.html