Mazāk nekā divus mēnešus pēc tam iepriekšējā versija, VideoLAN ir palaists VLC 3.0.11. Tāpat kā versija, kas ieradās aprīļa beigās, arī šī nav pārāk aizraujoša laidiena versija, taču tā papildina uzlabojumus, piemēram, kļūdu labojumus un drošības uzlabojumus. Konkrēti, viņi ir izlabojuši ievainojamību CVE-2020-13428 lai gan viņi to nemin savā ziņojumā, mēs varētu teikt, ka tam ir vidēja vai augsta prioritāte, kaut arī tajā ir arī kaut kas sakāms, cik viegli ir izmantot ievainojamību.
Novērsta drošības kļūda varētu atļaut attāliem uzbrucējiem izpildīt komandas vai avarē VLC atskaņotājs neaizsargātā datorā. Konkrēti, tas ir "bufera pārpilde VLC H26X pakešu paketē" un var atļaut uzbrucējiem izpildīt komandas ar tādu pašu drošības līmeni kā lietotājam, ja tas tiek pareizi izmantots.
VLC 3.0.11 tagad ir pieejams operētājsistēmām Windows, macOS un Linux
Ar informē VideoLAN:
Ietekmēto kodu izmantoja tikai macOS / iOS aparatūras paātrinātais dekoders (VideoToolbox), kas nozīmē, ka citas platformas netiek ietekmētas.
Ja tas izdosies, ļaunprātīga trešā puse varētu izraisīt VLC avāriju vai patvaļīgu koda izpildi ar mērķa lietotāja privilēģijām.
Kaut arī šīs problēmas, visticamāk, tikai sagrauj atskaņotāju, mēs nevaram izslēgt, ka tās var apvienot, lai nopludinātu lietotāja informāciju vai attālināti izpildītu kodu. ASLR un DEP palīdz samazināt koda izpildes varbūtību, taču tos var izlaist.
Mēs neesam redzējuši nevienu izmantošanu, kas izpildītu kodu, izmantojot šo ievainojamību.
Windows un macOS lietotāji tagad jūs varat instalēt jauno versiju atjaunināšana no tā paša atskaņotāja vai lejupielāde VLC 3.0.11 no oficiālās vietnes, kurai varat piekļūt šī saite. Linux lietotājiem tas ir pieejams arī no iepriekšējās saites dažādos formātos, bet arī Flathubs. Tuvākajās dienās (vai pat nedēļās) tā nonāks oficiālajā vairumā Linux izplatīšanas krātuvēs.