Een Turkse beveiligingsonderzoeker heeft twee kwetsbaarheden in een library onthuld waar de populaire VLC media player gebruik van maakt. Via de kwetsbaarheden kan een aanvaller willekeurige code op de computer uitvoeren als er een kwaadaardig bestand wordt geopend. De lekken bevinden zich in de libavcodec-library en doen zich voor bij het openen van kwaadaardige flv- of m2v-bestanden. De onderzoeker ontdekte de kwetsbaarheden op 24 november en meldde ze vervolgens aan de ontwikkelaars van VLC media player.
Op 9 januari publiceerde de onderzoeker de gegevens al op een weblog en deed dit afgelopen vrijdag ook via de Full Disclosure mailinglist. De onderzoeker stelde dat er nog altijd geen updates voor de problemen zijn verschenen. Volgens de ontwikkelaars van VLC media player gaat het hier niet om kwetsbaarheden in de populaire mediaspeler, maar ligt het probleem bij de libavcodec-library waar de mediaspeler gebruik van maakt. Daarnaast zijn de lekken in VLC media player 2.2.0-rc2 (release candidate 2) al verholpen. Daarop besloot het ontwikkelteam de twee bugmeldingen van de onderzoeker te sluiten. Wanneer de uiteindelijke versie van VLC media player 2.2.0 voor het publiek zal verschijnen is nog niet bekend.
Deze posting is gelocked. Reageren is niet meer mogelijk.