Bacato il noto media player VLC

Anche il mondo open source non sembra essere al di sopra di ogni possibile minaccia e qualche volta arriva notizia di vulnerabilità riscontrate in quei prodotti che, per la vasta base di sviluppatori, sono ritenuti in linea di massima sicuri o quantomeno privi di gravi pericoli.

Ancora non risulta essere stato riparato il problema che può portare anche all’esecuzione di codice arbitrario su VideoLAN VLC, il media player tra i più stabili, efficenti e completi in circolazione, prodotto come parte del VideoLAN Project e rilasciato gratuitamente sotto la licenza General Public di GNU. Si tratta di un exploit in grado di avvantaggiarsi della creazione ad arte di un buffer overflow a partire dai sottotitoli.

VLC infatti consente, parallelamente all’apertura di un qualsiasi file video, anche l’apertura di un separato file per i sottotitoli (il quale può anche essere un txt, l’importante è che sia formattato secondo lo standard del settore) e proprio nel momento in cui il file in questione viene processato è possibile avvantaggiarsi dell’overflow. L’exploit è valido sia in ambiente Windows che Mac che BSD.

Secondo le prime ricerche il bug esisteva anche prima che lo scorso febbraio fosse rilasciata l’ultima versione del programma, la 0.8.6e. È evidente che il problema o è sfuggito al controllo oppure non è stato riparato correttamente nonostante fosse stato identificato. La nota scritta da Luigi Auriemma, colui il quale ha segnalato il bug, infatti non lascia dubbi: «La cosa divertente è che il mio vecchio exploit era stato costruito proprio per testare questo tipo di buffer overflow e funziona senza problemi anche sulla nuova versione di VLC».