Méně než dva měsíce poté předchozí verze, Byla spuštěna aplikace VideoLAN VLC 3.0.11. Stejně jako verze, která dorazila na konci dubna, nejde o velmi vzrušující vydání, ale přidává vylepšení, jako jsou opravy chyb a vylepšení zabezpečení. Konkrétně opravili zranitelnost, CVE-2020-13428 že i když to ve své zprávě nezmiňují, dalo by se říci, že má střední nebo vysokou prioritu, i když v tom má také co říci, jak snadné je tuto zranitelnost zneužít.
Chyba zabezpečení opravena mohl umožnit vzdáleným útočníkům vykonávat příkazy nebo zhroucení přehrávače VLC na zranitelném počítači. Konkrétně se jedná o „přetečení vyrovnávací paměti v balíčku paketů VLC H26X“ a může útočníkům umožnit vykonávat příkazy se stejnou úrovní zabezpečení jako uživatel, pokud je správně využíván.
VLC 3.0.11 je nyní k dispozici pro Windows, macOS a Linux
Podle informuje VideoLAN:
Ovlivněný kód byl použit pouze hardwarově akcelerovaným dekodérem macOS / iOS (VideoToolbox), což znamená, že ostatní platformy nejsou ovlivněny.
Pokud bude úspěšná, může škodlivá třetí strana spustit selhání VLC nebo spuštění libovolného kódu s oprávněními cílového uživatele.
I když tyto problémy samy o sobě pravděpodobně jen havarují hráče, nemůžeme vyloučit, že je lze kombinovat za účelem úniku informací o uživateli nebo vzdáleného spuštění kódu. ASLR a DEP pomáhají snížit pravděpodobnost spuštění kódu, ale lze je vynechat.
Nezaznamenali jsme žádné zneužití, které provádějí kód pomocí této chyby zabezpečení.
Uživatelé Windows a macOS nyní můžete nainstalovat novou verzi aktualizace ze stejného přehrávače nebo stahování VLC 3.0.11 z oficiálních webových stránek, ze kterých máte přístup tento odkaz. Uživatelé systému Linux jej mají také k dispozici z předchozího odkazu v různých formátech, ale také v Flathub. V příštích několika dnech (nebo dokonce týdnech) se dostane do oficiálních úložišť většiny distribucí Linuxu.