Archive for 7/01/11

Ejecución de código en VLC a través de ficheros Real Player

07/01/2011

Existe un error de desbordamiento de memoria intermedia en el reproductor VLC. Este fallo se produce al procesar la cabecera de un archivo de Real Player y permite la ejecución de código.

VLC Media Player es un completo reproductor multimedia que soporta un gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de streaming. Además está disponible para un amplio número de plataformas distintas como Windows, Mac OS X y para varias distribuciones de Linux. VLC también puede ser utilizado como servidor en unicast o multicast, en IPv4 o IPv6. Dispone de un plug-in para Firefox que permite ver algunos archivos Quicktime y Windows Media desde páginas web sin necesidad de utilizar los reproductores oficiales de Apple o Microsoft.

Esta vulnerabilidad, a la que se le ha asignado el CVE CVE-2010-3907, permite ejecutar código a través de un fichero Real Player especialmente diseñado.

VLC ha solucionado este error en la versión 1.1.6, aunque todavía no está disponible en la página oficial de descarga.

Como contramedida se aconseja desactivar los plugins del navegador o renombrar o eliminar los ficheros del tipo ‘libreal_plugin.*’ de la carpeta ‘plugins’ en el directorio de instalación.

Fuente

=-=-=-=-=
Powered by Blogilo

Mozilla publica accidentalmente nombres y contraseñas de 44.000 usuarios

07/01/2011

Desde la fundación Mozilla han comunicado que ha sido publicada por error una parte importante de los datos de usuarios registrados en addons.mozilla.org, concretamente el identificador de usuario y hash MD5 de las contraseña de 44.000 de sus usuarios.

Al parecer el fallo se debió a que esta información fue dejada en un servidor público de manera accidental hasta que, el 17 de diciembre, un investigador independiente alertó de este error a través del programa de recompensas. No se sabe en qué fecha ni por qué se hicieron públicos los datos.

Desde Mozilla aseguran, después de un análisis de sus logs, que las únicas personas que accedieron a la información fueron la persona que puso en conocimiento esta información y miembros del equipo Mozilla. Además, al parecer pertenecían a usuarios "inactivos". La empresa ha respondido deshabilitando las cuentas y mandando un correo electrónico a todos los afectados para que recuperen sus contraseñas.

El problema de esta divulgación accidental reside en las cada vez más escasas garantías que ofrece MD5 debido a su debilidad criptográfica. En pocas palabras: es relativamente sencillo obtener, a partir del hash MD5, la contraseña original si no es extremadamente compleja. Además, en este caso la contraseña no contenía una "sal". Por esta razón Mozilla adoptó en abril de 2009 un sistema criptográfico más seguro, SHA512 para almacenar sus contraseñas, y es el método que utilizan todas las cuentas actuales.

Fuente

=-=-=-=-=
Powered by Blogilo