По-малко от два месеца след това предишна версия, VideoLAN стартира VLC 3.0.11. Подобно на версията, която пристигна в края на април, това не е много вълнуваща версия, но добавя подобрения като корекции на грешки и подобрения в сигурността. По-конкретно, те са коригирали уязвимост, CVE-2020 13428- че макар да не го споменават в доклада си, бихме могли да кажем, че е със среден или висок приоритет, въпреки че в това също има какво да се каже колко лесно е да се използва уязвимостта.
Поправена е грешка в сигурността може да позволи на отдалечените нападатели да изпълняват команди или сринете VLC плейъра на уязвим компютър. По-конкретно, това е „препълване на буфера в пакетния пакет VLC H26X“ и може да позволи на атакуващите да изпълняват команди при същото ниво на сигурност като потребителя, ако е експлоатиран правилно.
VLC 3.0.11 вече е наличен за Windows, macOS и Linux
От информира VideoLAN:
Засегнатият код беше използван само от хардуерно ускорения декодер на macOS / iOS (VideoToolbox), което означава, че други платформи не са засегнати.
Ако успее, злонамерена трета страна може да предизвика срив на VLC или произволно изпълнение на код с привилегиите на целевия потребител.
Въпреки че самите тези проблеми е вероятно само да сринат плейъра, не можем да изключим, че те могат да бъдат комбинирани, за да изтекат потребителска информация или да изпълнят дистанционно код. ASLR и DEP помагат за намаляване на вероятността за изпълнение на код, но могат да бъдат пропуснати.
Не сме виждали експлойти, които изпълняват код, използващ тази уязвимост.
Потребители на Windows и macOS вече можете да инсталирате новата версия актуализиране от същия плейър или изтегляне на VLC 3.0.11 от официалния уебсайт, до който имате достъп тази връзка. Потребителите на Linux също го предлагат от предишната връзка в различни формати, но също и в Flathub. През следващите няколко дни (или дори седмици) той ще достигне до официалните хранилища на повечето дистрибуции на Linux.