Mindre end to måneder efter tidligere version, har VideoLAN udgivet VLC 3.0.11. Ligesom versionen, der ankom i slutningen af april, er dette ikke en særlig spændende udgivelse, men den tilføjer forbedringer såsom fejlrettelser og sikkerhedsforbedringer. Konkret har de rettet en sårbarhed, den CVE-2020-13428 Selvom de ikke nævner det i deres rapport, kan vi sige, at det er af middel eller høj prioritet, selvom hvor let det er at udnytte sårbarheden også har noget at sige om dette.
Sikkerhedsfejl rettet kunne tillade fjernangribere at udføre kommandoer eller crash VLC-afspiller på en sårbar computer. Specifikt er det et "VLC H26X-pakkebufferoverløb" og kan tillade angribere at udføre kommandoer under samme sikkerhedsniveau som brugeren, hvis de udnyttes korrekt.
VLC 3.0.11 er nu tilgængelig til Windows, macOS og Linux
Ved informerer VideoLAN:
Den berørte kode blev kun brugt af macOS/iOS hardwareaccelereret dekoder (VideoToolbox), hvilket betyder, at andre platforme ikke påvirkes.
Hvis det lykkes, kan en ondsindet tredjepart udløse et VLC-nedbrud eller vilkårlig kodekørsel med den målrettede brugers rettigheder.
Selvom disse problemer alene sandsynligvis vil nedbryde afspilleren, kan vi ikke udelukke, at de kan kombineres for at lække brugeroplysninger eller fjernkøre kode. ASLR og DEP hjælper med at reducere sandsynligheden for kodeudførelse, men de kan udelades.
Vi har ikke set nogen udnyttelser, der udfører kode ved hjælp af denne sårbarhed.
Windows- og macOS-brugere du kan installere den nye version opdatering fra den samme afspiller eller download af VLC 3.0.11 fra den officielle hjemmeside, som du kan få adgang til fra dette link. Linux-brugere har det også tilgængeligt fra det forrige link i forskellige formater, men også i Flathub. I løbet af de næste par dage (eller endda uger), vil det ramme de officielle arkiver i de fleste Linux-distributioner.