|
Título: Hallada una vulnerabilidad zero-day en el soporte multimedia de Linux Publicado por: wolfbcn en 20 Diciembre 2016, 18:30 pm Chris Evans, investigador en seguridad, descubrió la semana pasada una vulnerabilidad que afecta a GStreamer, el framework más utilizado para dotar al Linux de escritorio de soporte multimedia. Evans consiguió explotarla con tan solo abrir un fichero multimedia específicamente diseñado en Ubuntu 16.04 y Fedora 25.
Esta vulnerabilidad no tendría que poderse explotar sobre servidores Linux, ya que estos no suelen tener el soporte multimedia instalado, sin embargo, los que usan este sistema operativo como escritorio posiblemente sí estén expuestos, ya que al afectar a un componente bastante común, las posibilidades de esté extendido más allá de Fedora y Ubuntu son muy altas. Para explotar la vulnerabilidad hay que hacer uso de una biblioteca llamada libgme, también conocida como Game Music Emu, que es utilizada para emular la música de las consolas de videojuegos. Cambiando la extensión .spc, perteneciente al formato de audio utilizado por el código que emula el procesador Sony SPC700, por .flac o .mp3, se consigue que GStreamer y Game Music Emu los abra y se pueda explotar la vulnerabilidad. LEER MAS: http://muyseguridad.net/2016/12/20/zero-day-multimedia-linux/ |