Videobestanden kunnen een link bevatten naar een apart bestand met ondertitels. VLC laadt deze file automatisch bij het afspelen van de betreffende video. Door dit ondertitelbestand te manipuleren, is het mogelijk een buffer overflow te veroorzaken. Dit kan er vervolgens weer toe leiden dat een aanvaller kwaadaardige code kan uitvoeren op de pc van het slachtoffer. Daarmee is het mogelijk om de controle over de gecompromitteerde pc over te nemen.

De kwetsbaarheid heeft gevolgen voor VLC-players voor Windows, Mac, BSD en mogelijk ook voor andere besturingssystemen, zo meldt de Washington Post op gezag van security-onderzoeker Luigi Auriemmain.

De bug bestond al voor VLC eind februari versie 0.8.6e uitbracht. Het lijkt er echter op dat de kwetsbaarheid bij de laatste patch-ronde niet onder handen is genomen. "Het is grappig dat mijn oude proof-of-concept die was gemaakt om juist deze specifieke buffer overflow te testen, nu zonder aanpassingen werkt bij de nieuwe versie van VLC", stelt Auriemmain. Het is de tweede keer dat dit gebeurt, want ook met 8.0.6d was de bug al lang en breed bekend.

Security.nl wijst op een exploit die is verschenen op de Milw0rm-website. Deze exploit werkt op Windows XP SP2 systemen. Bron: Techworld