Manje od dva mjeseca nakon prethodna verzija, VideoLAN je pokrenut VLC 3.0.11. Kao i verzija koja je stigla krajem aprila, ovo nije baš uzbudljivo izdanje, ali dodaje poboljšanja kao što su ispravke grešaka i sigurnosna poboljšanja. Konkretno, oni su ispravili ranjivost, CVE-2020-13428 da, iako ga ne spominju u svom izvještaju, mogli bismo reći da je od srednjeg ili visokog prioriteta, iako u ovome također ima nešto za reći kako je lako iskoristiti ranjivost.
Ispravljena je sigurnosna greška mogao omogućiti udaljenim napadačima izvršavanje naredbi ili srušite VLC player na ranjivom računaru. Točnije, to je "preljev međuspremnika u paketu VLC H26X paketa" i može dozvoliti napadačima da izvršavaju naredbe pod istim nivoom sigurnosti kao i korisnik ako je pravilno iskorišten.
VLC 3.0.11 sada je dostupan za Windows, macOS i Linux
Prema informa VideoLAN:
Pogođeni kod koristio je samo macOS / iOS hardverski ubrzani dekoder (VideoToolbox), što znači da ostale platforme nisu pogođene.
Ako uspije, zlonamjerna treća strana može pokrenuti pad VLC-a ili proizvoljno izvršavanje koda s privilegijama ciljnog korisnika.
Iako će ovi problemi vjerovatno samo srušiti player, ne možemo isključiti da se oni mogu kombinirati kako bi procurili korisničke informacije ili izvršili kôd na daljinu. ASLR i DEP pomažu smanjiti vjerojatnost izvršenja koda, ali se mogu izostaviti.
Nismo vidjeli nijedan exploit koji izvršava kôd koristeći ovu ranjivost.
Korisnici Windowsa i MacOS-a sada možete instalirati novu verziju ažuriranje s istog uređaja ili preuzimanje VLC 3.0.11 sa službene web stranice kojoj možete pristupiti Ova veza. Korisnicima Linuxa dostupan je i sa prethodne veze u različitim formatima, ali i u Flatub. U sljedećih nekoliko dana (ili čak tjedana) doći će do službenih spremišta većine Linux distribucija.