Kurang dari dua bulan setelahnya versi sebelumnya, VideoLAN telah diluncurkan VLC 3.0.11. Seperti versi yang dirilis pada akhir April, ini bukanlah rilis yang sangat menarik, tetapi menambahkan peningkatan seperti perbaikan bug dan peningkatan keamanan. Secara khusus, mereka telah memperbaiki kerentanan, file CVE-2020-13428 bahwa meskipun mereka tidak menyebutkannya dalam laporan mereka, kami dapat mengatakan bahwa itu adalah prioritas menengah atau tinggi, meskipun dalam hal ini juga disebutkan betapa mudahnya mengeksploitasi kerentanan.
Bug keamanan diperbaiki dapat memungkinkan penyerang jarak jauh untuk menjalankan perintah atau crash pemutar VLC di komputer yang rentan. Secara khusus, ini adalah "buffer overflow dalam paket paket VLC H26X" dan dapat memungkinkan penyerang untuk menjalankan perintah di bawah tingkat keamanan yang sama dengan pengguna jika dieksploitasi dengan benar.
VLC 3.0.11 sekarang tersedia untuk Windows, macOS dan Linux
Oleh menginformasikan LAN Video:
Kode yang terpengaruh hanya digunakan oleh dekoder yang dipercepat perangkat keras macOS / iOS (VideoToolbox), yang berarti bahwa platform lain tidak terpengaruh.
Jika berhasil, pihak ketiga yang jahat dapat memicu kerusakan VLC atau eksekusi kode arbitrer dengan hak istimewa pengguna target.
Meskipun masalah ini sendiri cenderung hanya membuat pemain crash, kami tidak dapat mengecualikan bahwa mereka dapat digabungkan untuk membocorkan informasi pengguna atau mengeksekusi kode dari jarak jauh. ASLR dan DEP membantu mengurangi kemungkinan eksekusi kode, tetapi dapat dihilangkan.
Kami belum melihat eksploitasi yang mengeksekusi kode menggunakan kerentanan ini.
Pengguna Windows dan macOS Anda sekarang dapat menginstal versi baru memperbarui dari pemutar yang sama atau mengunduh VLC 3.0.11 dari situs web resmi, yang dapat Anda akses link ini. Pengguna Linux juga memilikinya tersedia dari tautan sebelumnya dalam format yang berbeda, tetapi juga dalam format Flathub. Dalam beberapa hari ke depan (atau bahkan berminggu-minggu), ini akan mencapai repositori resmi dari sebagian besar distribusi Linux.