Ejecución remota de código en varios reproductores multimedia

Se ha encontrado una vulnerabilidad en el codec 3ivx (3ivx.dll), usado para visualizar archivos MPEG-4.

Esto podría ser explotado por un atacante remoto para ejecutar código arbitrario con los permisos del usuario ejecutando la aplicación. Si es el administrador el que ejecuta el programa, entonces un atacante podría lograr control total sobre un sistema vulnerable.

El problema de seguridad se debe a un fallo al abrir archivos MP4, debido a errores de límite en 3ivxDSMediaSplitter.ax al procesar ciertos átomos (“©art”, “©nam”, “©cmt”, “©des” o “©cpy”). Esto podría causar un desbordamiento del búfer de pila, que podría ser aprovechado por un atacante remoto para ejecutar código arbitrario, por medio de un archivo MP4 especialmente manipulado, con los permisos del usuario que intenta reproducir dicho archivo.

Los exploits han sido publicados directamente por un tal SYS 49152 y, afectan a todas las versiones del codec, siendo la última la 5.0.1. Los exploits publicados aprovechan el fallo usando como vectores de ataque versiones de populares reproductores multimedia: Windows Media Player 6.4.09.1130, Media Player Classic 6.4.9.0 y Nullsoft Winamp 5.32. Aún está por confirmar si el problema de seguridad puede afectar a otras versiones más recientes.

Windows Media Player es el reproductor multimedia que acompaña gratuitamente a los sistemas Microsoft. No contiene por defecto ese codec. Media Player Classic (MPC) es una alternativa, gratuita, al reproductor multimedia que incorpora Windows. Winamp es, seguramente, el reproductor de archivos multimedia más popular para plataformas Windows.

Entre las cualidades de éstos tres reproductores, está el soportar múltiples formatos, aceptar infinidad de plug-ins y la posibilidad de descarga de versiones gratuitas. Precisamente por el hecho de soportar tantos formatos, los reproductores sufren cada cierto tiempo de un problema de seguridad en alguno de sus codecs y se convierten en un vector de ataque tan peligroso como cualquier otro. En la mayoría de las ocasiones, sólo necesita de la ejecución de un archivo con la aplicación vulnerable para ser aprovechado. Su popularidad los convierte en un jugoso objetivo para atacantes.

Nullsoft ha publicado un nuevo parche para Winamp (versión 5.35) que soluciona el problema, pero por el momento no existe ninguna actualización disponible para el resto de reproductores. Desde Hispasec se recomienda no abrir archivos no confiables o de dudosa procedencia.

Pablo Molina (Hispasec)