Mažiau nei du mėnesiai po to ankstesnė versija, „VideoLAN“ pradėjo veikti VLC 3.0.11. Kaip ir balandžio pabaigoje pristatyta versija, tai nėra labai įdomus leidimas, tačiau jis prideda patobulinimų, tokių kaip klaidų taisymai ir saugos patobulinimai. Konkrečiai, jie ištaisė pažeidžiamumą CVE-2020-13428 kad, nors jie to ir nemini savo pranešime, galėtume pasakyti, kad jis yra vidutinio ar didelio prioriteto, nors jame taip pat yra ką pasakyti, kaip lengva išnaudoti pažeidžiamumą.
Ištaisyta saugos klaida gali leisti nuotoliniams užpuolikams vykdyti komandas arba sugadinti VLC grotuvą pažeidžiamame kompiuteryje. Konkrečiau kalbant, tai yra „buferio perpildymas VLC H26X paketiniame pakete“ ir gali leisti užpuolikams vykdyti komandas esant tokiam pat saugumo lygiui kaip ir vartotojui, jei tinkamai išnaudojami.
„VLC 3.0.11“ dabar galima „Windows“, „MacOS“ ir „Linux“
Pagal informuoja „VideoLAN“:
Paveiktą kodą naudojo tik „macOS“ / „iOS“ aparatinės įrangos pagreitintas dekoderis („VideoToolbox“), o tai reiškia, kad tai neturi įtakos kitoms platformoms.
Jei tai bus sėkminga, kenkėjiška trečioji šalis gali sukelti VLC gedimą ar savavališką kodo vykdymą, turėdama tikslinio vartotojo teises.
Nors šios problemos greičiausiai tik sugadins grotuvą, negalime atmesti galimybės, kad jas galima derinti, kad nutekėtų naudotojo informacija arba būtų vykdomas nuotolinis kodas. ASLR ir DEP padeda sumažinti kodo vykdymo tikimybę, tačiau jų galima praleisti.
Nematėme jokių išnaudojimų, kurie vykdytų kodą naudodami šį pažeidžiamumą.
„Windows“ ir „macOS“ vartotojai dabar galite įdiegti naują versiją atnaujinti iš to paties grotuvo arba atsisiųsti VLC 3.0.11 iš oficialios svetainės, kurią galite pasiekti šią nuorodą. "Linux" vartotojai taip pat gali jį įsigyti iš ankstesnės nuorodos skirtingais formatais, bet ir Flathubas. Per ateinančias kelias dienas (ar net savaites) jis pasieks oficialias daugumos „Linux“ paskirstymų saugyklas.