Kevesebb, mint két hónap múlva előző verzió, A VideoLAN elindult VLC 3.0.11. Az április végén érkezett verzióhoz hasonlóan ez sem túl izgalmas kiadás, de olyan fejlesztéseket ad hozzá, mint hibajavítások és biztonsági fejlesztések. Pontosabban kijavították a sérülékenységet, a CVE-2020 13428- hogy bár jelentésükben nem említik, mondhatnánk, hogy közepes vagy kiemelt fontosságú, bár ebben is van valami mondanivalója, hogy milyen könnyű kihasználni a sebezhetőséget.
A biztonsági hiba javítva lehetővé teheti a távoli támadók számára parancsok végrehajtását vagy összeomolhatja a VLC-lejátszót egy sérülékeny számítógépen. Pontosabban, ez egy "puffertúlcsordulás a VLC H26X csomagcsomagban", és lehetővé teheti a támadók számára, hogy megfelelő kiaknázás esetén a felhasználóval azonos biztonsági szint alatt hajtsanak végre parancsokat.
A VLC 3.0.11 már elérhető Windows, macOS és Linux rendszerekhez
Által tájékoztat VideoLAN:
Az érintett kódot csak a macOS / iOS hardveres gyorsítású dekóder (VideoToolbox) használta, ami azt jelenti, hogy ez más platformokat nem érinti.
Sikeres esetben egy rosszindulatú harmadik fél VLC összeomlást vagy tetszőleges kódfuttatást indíthat el a célfelhasználó privilégiumaival.
Bár ezek a problémák valószínűleg csak a lejátszót ütik össze, nem zárhatjuk ki, hogy ezek kombinálhatók felhasználói információk kiszivárogtatásához vagy a kód távoli végrehajtásához. Az ASLR és a DEP csökkentik a kód végrehajtásának valószínűségét, de elhagyhatók.
Nem láttunk olyan kihasználást, amely a biztonsági rés használatával futtatna kódot.
Windows és macOS felhasználók most telepítheti az új verziót frissítés ugyanarról a lejátszóról vagy a VLC 3.0.11 letöltése a hivatalos weboldalról, ahonnan elérheti meg ezt a linket. A Linux-felhasználók az előző linkről is elérhetők különböző formátumokban, de szintén Flathub. A következő napokban (vagy akár hetekben) eljut a legtöbb Linux disztribúció hivatalos tárházába.