Meno di due mesi dopo versione precedente, VideoLAN è stato lanciato VLC 3.0.11. Come la versione arrivata alla fine di aprile, questa non è una versione molto entusiasmante, ma aggiunge miglioramenti come correzioni di bug e miglioramenti della sicurezza. In particolare, hanno corretto una vulnerabilità, il CVE-2020-13428 che, anche se non lo menzionano nella loro relazione, potremmo dire che ha una priorità media o alta, sebbene in questo abbia anche qualcosa da dire su quanto sia facile sfruttare la vulnerabilità.
Il bug di sicurezza è stato risolto potrebbe consentire agli aggressori remoti di eseguire comandi o mandare in crash il lettore VLC su un computer vulnerabile. Nello specifico, si tratta di un "buffer overflow nel pacchetto di pacchetti VLC H26X" e può consentire agli aggressori di eseguire comandi con lo stesso livello di sicurezza dell'utente se adeguatamente sfruttati.
VLC 3.0.11 ora disponibile per Windows, macOS e Linux
Segun informa VideoLAN:
Il codice interessato è stato utilizzato solo dal decoder con accelerazione hardware macOS / iOS (VideoToolbox), il che significa che le altre piattaforme non sono interessate.
In caso di successo, una terza parte dannosa potrebbe attivare un arresto anomalo di VLC o l'esecuzione di codice arbitrario con i privilegi dell'utente di destinazione.
Sebbene questi problemi stessi possano solo causare l'arresto anomalo del lettore, non possiamo escludere che possano essere combinati per far trapelare le informazioni dell'utente o eseguire il codice in remoto. ASLR e DEP aiutano a ridurre la probabilità di esecuzione del codice, ma possono essere omessi.
Non abbiamo visto alcun exploit che esegue codice utilizzando questa vulnerabilità.
Utenti Windows e macOS ora puoi installare la nuova versione aggiornando dallo stesso lettore o scaricando VLC 3.0.11 dal sito Web ufficiale, da cui è possibile accedere questo link. Gli utenti Linux lo hanno anche disponibile dal collegamento precedente in diversi formati, ma anche in Flathub. Nei prossimi giorni (o addirittura settimane) raggiungerà i repository ufficiali della maggior parte delle distribuzioni Linux.