QuickTime y VLC Mediaplayer inician el año con una nueva vulnerabilidad que podría comprometer el sistema. El experto en seguridad Luigi Auriemma, hizo públicos los bugs de los reproductores que pueden ser atacados a través del protocolo de flujo de datos en tiempo real RTSP (Real Time Streaming Protocol).

Hace pocos días hacía referencia a los problemas del reconocido reproductor de Apple, que durante el 2007 fue uno de los reproductores multimedia más vulnerables. Por otro lado, VLC es un reproductor multiplataforma de código abierto que prácticamente soporta todos los códecs de audio y video.

El nuevo bug de QuickTime recientemente publicado, provoca un desbordamiento de búfer que permite la ejecución de códigos arbitrarios. Un atacante puede provocar el problema en Windows mediante un enlace a un servidor RTSP (rtsp://), si su puerto 554 se encuentra cerrado, según Auriemma, QuickTime intenta automáticamente cambiar al protocolo HTTP por el puerto 80, provocando el fallo mediante un mensaje de error del servidor, por ejemplo ”404 – No se encuentra la página”. Al parecer, la reproducción del fallo en Mac OS X no fue posible.

La causa del problema de VLC en Windows por el momento no es clara, pero podría provocarse por un desbordamiento de búfer en el manejo del flujo RTSP.

Las últimas versiones de los programas QuickTime (7.3.1.70) y VLC (0.8.6d) se ven afectadas. Se recomienda evitar el uso de estos reproductores y utilizar alguno alternativo, como por ejemplo Windows Media Player que también permite visualizar contenidos online. Por el momento no tiene vulnerabilidades conocidas y probablemente sea la opción más segura hasta que se encuentren disponibles nuevas actualizaciones para las otras aplicaciones.