Vähem kui kaks kuud pärast seda eelmine versioon, VideoLAN on käivitatud VLC 3.0.11. Nagu aprilli lõpus saabunud versioon, pole ka see eriti põnev väljaanne, kuid lisab siiski selliseid parandusi nagu veaparandused ja turvalisuse parandused. Täpsemalt on nad parandanud haavatavuse CVE-2020-13428 et kuigi nad seda oma raportis ei maini, võiksime öelda, et see on keskmise või kõrge prioriteediga, kuigi selles on ka midagi öelda, kui lihtne on haavatavust ära kasutada.
Turvaviga parandatud võimaldaks kaugründajatel käske täita või krahhi VLC-mängija haavatavas arvutis. Täpsemalt, see on "puhvri ülevool VLC H26X pakettpaketis" ja võimaldab ründajatel korralikult ära kasutada käske kasutajaga samal turvalisustasemel.
VLC 3.0.11 on nüüd saadaval Windowsi, macOSi ja Linuxi jaoks
Poolt teavitab VideoLAN:
Mõjutatud koodi kasutas ainult macOS / iOS-i riistvara kiirendatud dekooder (VideoToolbox), mis tähendab, et see ei mõjuta teisi platvorme.
Õnnestumise korral võib pahatahtlik kolmas osapool käivitada VLC-krahhi või suvalise koodi käivitamise sihtkasutaja õigustega.
Kuigi need probleemid ise tõenäoliselt ainult mängija kokku kukutavad, ei saa me välistada, et neid saab kombineerida kasutajate teabe lekitamiseks või koodi kaugtäitmiseks. ASLR ja DEP aitavad vähendada koodi täitmise tõenäosust, kuid need võib ära jätta.
Me ei ole näinud ühtegi ekspluateerimist, mis selle haavatavuse abil koodi käivitaks.
Windowsi ja macOS-i kasutajad saate installida uue versiooni värskendamine samast mängijast või VLC 3.0.11 allalaadimine ametlikult veebisaidilt, millele saate juurde pääseda seda linki. Linuxi kasutajatel on see saadaval ka eelmises lingis erinevates vormingutes, aga ka Flathub. Lähipäevil (või isegi nädalate jooksul) jõuab see enamiku Linuxi distributsioonide ametlikesse hoidlatesse.