פחות מחודשיים לאחר מכן גרסה קודמת, VideoLAN הושק VLC 3.0.11. כמו הגרסה שהגיעה בסוף אפריל, זו לא מהדורה מרגשת במיוחד, אך היא מוסיפה שיפורים כמו תיקוני באגים ושיפורי אבטחה. באופן ספציפי, הם תיקנו את הפגיעות CVE-2020-13428 שלמרות שהם לא מזכירים את זה בדו"ח שלהם, נוכל לומר שזה בעדיפות בינונית או גבוהה, אם כי יש בזה גם משהו לומר כמה קל לנצל את הפגיעות.
תוקן באג האבטחה יכול לאפשר לתוקפים מרוחקים לבצע פקודות או לקרוס את נגן VLC במחשב פגיע. באופן ספציפי, זהו "הצפת חיץ בחבילת מנות VLC H26X" ויכול לאפשר לתוקפים לבצע פקודות באותה רמת אבטחה כמו המשתמש אם מנוצלים כראוי.
VLC 3.0.11 זמין כעת עבור Windows, macOS ו- Linux
על ידי מודיע וידאו LAN:
הקוד המושפע שימש רק את המפענח המואץ של חומרת macOS / iOS (VideoToolbox), מה שאומר שפלטפורמות אחרות אינן מושפעות.
אם יצליח, צד שלישי זדוני עלול לגרום לקריסת VLC או ביצוע קוד שרירותי עם הרשאות משתמש היעד.
אמנם הבעיות הללו עצמן עלולות לקרוס רק את הנגן, אך איננו יכולים להשלים שניתן לשלב אותן כדי לדלוף מידע על המשתמש או לבצע קוד מרחוק. ASLR ו- DEP עוזרים להפחית את הסבירות לביצוע קוד, אך ניתן להשמיט אותם.
לא ראינו שום מעללים שמבצעים קוד באמצעות פגיעות זו.
משתמשי Windows ו- MacOS כעת תוכל להתקין את הגרסה החדשה עדכון מאותו נגן או הורדת VLC 3.0.11 מהאתר הרשמי, אליו תוכלו לגשת קישור זה. משתמשי לינוקס זמינים גם מהקישור הקודם בפורמטים שונים, אך גם ב Flathub. בימים הקרובים (או אפילו בשבועות הקרובים) הוא יגיע למאגרים הרשמיים של מרבית הפצות לינוקס.