Menys de dos mesos després de la versió anterior, VideoLAN ha llançat VLC 3.0.11. Com la versió que va arribar a finals d'abril, no es tracta d'un llançament molt emocionant, però sí que afegeix millores com a solució d'errors i millores de seguretat. Concretament, han corregit una vulnerabilitat, la CVE-2020-13428 que, encara que en el seu informe no ho esmenten, podríem dir que és de prioritat mitjana o alta, encara que en això també té alguna cosa a dir el fàcil que sigui explotar la vulnerabilitat.
La fallada de seguretat corregit podia permetre a atacants remots executar comandaments o bloquejar el reproductor VLC en un equip vulnerable. Concretament, es tracta d'un «desbordament de la memòria intermèdia en el paquet de paquets H26X de VLC» i pot permetre als atacants executar comandaments sota el mateix nivell de seguretat que l'usuari si és convenientment explotat.
VLC 3.0.11 ja diaponible per a Windows, macOS i Linux
Segons informa VideoLAN:
El codi afectat només va ser utilitzat pel descodificador accelerat de maquinari macOS / iOS (VideoToolbox), el que significa que altres plataformes no es veuen afectades.
Si té èxit, un tercer malintencionat podria desencadenar un bloqueig de VLC o una execució de codi arbitrari amb els privilegis de l'usuari objectiu.
Si bé és probable que aquests problemes en si mateixos només bloquegen el reproductor, no podem excloure que es puguin combinar per filtrar informació de l'usuari o executar codi de forma remota. ASLR i DEP ajuden a reduir la probabilitat d'execució de codi, però poden ometre.
No hem vist gestes que executin codi mitjançant aquesta vulnerabilitat.
Els usuaris de Windows i macOS ja poden instal·lar la nova versió actualitzant des del mateix reproductor o descarregant VLC 3.0.11 des de la pàgina web oficial, a la qual podeu accedir des aquest enllaç. Els usuaris de Linux també el tenim disponible des de l'enllaç anterior en diferents formats, però també en Flathub. En els propers dies (o fins i tot setmanes), arribarà als repositoris oficials de la majoria de distribucions Linux.