Manje od dva mjeseca nakon prethodna verzija, Pokrenuo je VideoLAN VLC 3.0.11. Kao i verzija koja je stigla krajem travnja, ovo nije baš uzbudljivo izdanje, ali dodaje poboljšanja poput ispravka programskih pogrešaka i sigurnosnih poboljšanja. Točnije, ispravili su ranjivost, CVE-2020-13428 da, iako ga ne spominju u svom izvješću, mogli bismo reći da je od srednjeg ili visokog prioriteta, iako u ovome također ima nešto za reći kako je lako iskoristiti ranjivost.
Ispravljena je sigurnosna pogreška mogao dopustiti udaljenim napadačima izvršavanje naredbi ili srušite VLC player na ranjivom računalu. Točnije, to je "preljev međuspremnika u paketu VLC H26X paketa" i napadačima može omogućiti izvršavanje naredbi pod istom razinom sigurnosti kao i korisnik ako je pravilno iskorišten.
VLC 3.0.11 sada je dostupan za Windows, MacOS i Linux
po informiran VideoLAN:
Pogođeni kod koristio je samo macOS / iOS hardverski ubrzani dekoder (VideoToolbox), što znači da ostale platforme nisu pogođene.
Ako uspije, zlonamjerna treća strana može pokrenuti pad VLC-a ili proizvoljno izvršavanje koda s privilegijama ciljnog korisnika.
Iako će ti problemi vjerojatno srušiti player, ne možemo isključiti da se mogu kombinirati kako bi procurili korisnički podaci ili izvršili kôd na daljinu. ASLR i DEP pomažu smanjiti vjerojatnost izvršenja koda, ali se mogu izostaviti.
Nismo vidjeli nijedan exploit koji izvršava kôd koristeći ovu ranjivost.
Korisnici sustava Windows i MacOS sada možete instalirati novu verziju ažuriranje s istog playera ili preuzimanje VLC 3.0.11 sa službene web stranice kojoj možete pristupiti ovaj link. Korisnici Linuxa također ga imaju na raspolaganju s prethodne veze u različitim formatima, ali i u sustavu Windows Flathub. U sljedećih nekoliko dana (ili čak tjedana) doći će do službenih spremišta većine Linux distribucija.