VLC 3.0.11 vient principalement pour corriger des bogues et corriger une vulnérabilité

VLC 3.0.10

Moins de deux mois après version précédente, VideoLAN a lancé VLC 3.0.11. Comme la version arrivée fin avril, ce n'est pas une version très excitante, mais elle ajoute des améliorations telles que des corrections de bogues et des améliorations de sécurité. Plus précisément, ils ont corrigé une vulnérabilité, le CVE-2020-13428 que, bien qu'ils ne le mentionnent pas dans leur rapport, nous pourrions dire qu'il s'agit d'une priorité moyenne ou élevée, bien que cela indique également à quel point il est facile d'exploiter la vulnérabilité.

Le bug de sécurité corrigé pourrait permettre à des attaquants distants d'exécuter des commandes ou faire planter le lecteur VLC sur un ordinateur vulnérable. Plus précisément, il s'agit d'un "débordement de tampon dans le paquet de paquets VLC H26X" et peut permettre aux attaquants d'exécuter des commandes avec le même niveau de sécurité que l'utilisateur s'il est correctement exploité.

VLC 3.0.11 maintenant disponible pour Windows, macOS et Linux

D'après informe VidéoLAN :

Le code affecté n'a été utilisé que par le décodeur accéléré matériel macOS / iOS (VideoToolbox), ce qui signifie que les autres plates-formes ne sont pas affectées.

En cas de succès, un tiers malveillant pourrait déclencher une panne de VLC ou l'exécution de code arbitraire avec les privilèges de l'utilisateur cible.

Bien que ces problèmes eux-mêmes ne fassent que planter le lecteur, nous ne pouvons pas exclure qu'ils puissent être combinés pour divulguer des informations utilisateur ou exécuter du code à distance. ASLR et DEP aident à réduire la probabilité d'exécution de code, mais peuvent être omis.

Nous n'avons vu aucun exploit qui exécute du code en utilisant cette vulnérabilité.

Utilisateurs Windows et macOS vous pouvez maintenant installer la nouvelle version mise à jour à partir du même lecteur ou téléchargement de VLC 3.0.11 à partir du site officiel, auquel vous pouvez accéder à partir de ce lien. Les utilisateurs de Linux l'ont également disponible à partir du lien précédent dans différents formats, mais aussi en Flathub. Dans les prochains jours (voire semaines), il atteindra les référentiels officiels de la plupart des distributions Linux.


Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.