Descubierta vulnerabilidad en VLC con los archivos MKV

[VLC](/tag/vlc) ([VideoLan Player](http://www.videolan.org/news.html)) es uno de los reproductores multimedia que goza de mejor salud. Famoso por soportar prácticamente todos los formatos del mercado y por estar portado también a prácticamente todas las plataformas existentes [VLC](/tag/vlc) es una constante en los escritorios acostumbrados a reproducir vídeo.

Pues uno de esos formatos, concretamente **el [MKV](/tag/mkv), provoca la posibilidad de ejecutar código arbitrario simplemente con la reproducción de uno de éstos archivos de vídeo maliciosamente manipulado**. Recordad que el formato [MKV](/tag/mkv) (Matroska Video) actúa como un contenedor de audio, vídeo, subtítulos… y que para ello utiliza algoritmos y parámetros que pueden alterarse sin modificar los vídeos en sí.

Un error en uno de éstos parámetros (**MKV_IS_ID**) puede ser modificado y al abrir el archivo [MKV](/tag/mkv) con [VLC](/tag/vlc) provocar un desbordamiento de la memoria intermedia para acceder al PC y ejecutar código en la víctima. **La versión actual (1.1.6) se encuentra afectada por este fallo que será parcheado en la siguiente, 1.1.7**. De todas formas, en los repositorios oficiales existe un parche temporal.

El equipo de programación no se ha hecho especial eco del error en su [blog oficial](http://www.videolan.org/news.html) aunque sí han anunciado la nueva versión con «un pequeño parche de seguridad».

Una opción alternativa para asegurar nuestras instalaciones de [VLC](/tag/vlc), como nos proponen los chicos de [HispaSec](http://www.hispasec.com/unaaldia/4483), es cambiarles el nombre a todos los archivos *libmkv_plugin.*» del directorio de instalación para impedir este tipo de ataques.

Ya lo sabéis así que, si es posible, actualizad vuestro [VLC](/tag/vlc).