Weniger als zwei Monate später Vorherige Version, VideoLAN wurde gestartet VLC 3.0.11. Wie die Version, die Ende April erschien, ist dies keine sehr aufregende Version, aber sie fügt Verbesserungen wie Fehlerkorrekturen und Sicherheitsverbesserungen hinzu. Insbesondere haben sie eine Sicherheitslücke behoben, die CVE-2020-13428 Obwohl sie es in ihrem Bericht nicht erwähnen, können wir sagen, dass es von mittlerer oder hoher Priorität ist, obwohl es auch etwas zu sagen hat, wie einfach es ist, die Sicherheitsanfälligkeit auszunutzen.
Der Sicherheitsfehler wurde behoben könnte es entfernten Angreifern ermöglichen, Befehle auszuführen oder stürzen Sie den VLC-Player auf einem anfälligen Computer ab. Insbesondere handelt es sich um einen "Pufferüberlauf im VLC H26X-Paketpaket", der es Angreifern ermöglichen kann, Befehle unter der gleichen Sicherheitsstufe wie der Benutzer auszuführen, wenn sie ordnungsgemäß ausgenutzt werden.
VLC 3.0.11 jetzt für Windows, MacOS und Linux verfügbar
Durch informiert VideoLAN:
Der betroffene Code wurde nur vom hardwarebeschleunigten MacOS / iOS-Decoder (VideoToolbox) verwendet, sodass andere Plattformen nicht betroffen sind.
Bei Erfolg kann ein böswilliger Dritter einen VLC-Absturz oder eine willkürliche Codeausführung mit den Berechtigungen des Zielbenutzers auslösen.
Obwohl diese Probleme selbst wahrscheinlich nur den Player zum Absturz bringen, können wir nicht ausschließen, dass sie kombiniert werden können, um Benutzerinformationen zu verlieren oder Code aus der Ferne auszuführen. ASLR und DEP verringern die Wahrscheinlichkeit der Codeausführung, können jedoch weggelassen werden.
Wir haben keine Exploits gesehen, die Code mit dieser Sicherheitsanfälligkeit ausführen.
Windows- und MacOS-Benutzer Sie können die neue Version installieren Aktualisieren vom selben Player oder Herunterladen von VLC 3.0.11 von der offiziellen Website, auf die Sie zugreifen können dieser Link. Linux-Benutzer haben es auch über den vorherigen Link in verschiedenen Formaten verfügbar, aber auch in Flathub. In den nächsten Tagen (oder sogar Wochen) wird es die offiziellen Repositories der meisten Linux-Distributionen erreichen.