Roma – L’esperto di sicurezza Davide Del Vecchio ha scoperto una falla di sicurezza in mpg123 , un player audio piuttosto noto fra gli utenti di Linux e Unix.
La vulnerabilità, di tipo buffer overflow, è stata trovata nella versione 0.59r di mpg123 per Debian SID e OpenBSD, ma Del Vecchio affema che potrebbe interessare altre release e altri sistemi operativi (versioni precompilate del programma sono disponibili per Irix, SunOS, HPUX e Solaris).
L’esperto italiano ha aggiunto che il problema, relativo alla riproduzione di file MP3 e MP2 malformati, potrebbe consentire l’esecuzione di qualsiasi codice con gli stessi privilegi dell’utente locale.
Una patch è già stata sviluppata da Daniel Kobras, maintainer del package mpg123 di Debian.