Mindre enn to måneder etter forrige versjon, VideoLAN har lansert VLC 3.0.11. I likhet med versjonen som kom i slutten av april, er dette ikke en veldig spennende utgivelse, men den legger til forbedringer som feilrettinger og sikkerhetsforbedringer. Spesielt har de korrigert et sårbarhet, CVE-2020-13428 at selv om de ikke nevner det i sin rapport, kan vi si at det er middels eller høyt prioritert, selv om det i dette også har noe å si hvor enkelt det er å utnytte sårbarheten.
Sikkerhetsfeilen løst kunne tillate fjernangripere å utføre kommandoer eller krasje VLC-spilleren på en sårbar datamaskin. Spesielt er det et "bufferoverløp i VLC H26X-pakkepakke" og kan tillate angripere å utføre kommandoer under samme sikkerhetsnivå som brukeren hvis de blir utnyttet riktig.
VLC 3.0.11 er nå tilgjengelig for Windows, macOS og Linux
Av informerer VideoLAN:
Den berørte koden ble bare brukt av maskinvareakselerert dekoder for macOS / iOS (VideoToolbox), noe som betyr at andre plattformer ikke påvirkes.
Hvis det lykkes, kan en ondsinnet tredjepart utløse et VLC-krasj eller kjøring av vilkårlig kode med rettighetene til målbrukeren.
Selv om disse problemene sannsynligvis bare krasjer spilleren, kan vi ikke utelukke at de kan kombineres for å lekke brukerinformasjon eller utføre kode eksternt. ASLR og DEP bidrar til å redusere sannsynligheten for kjøring av kode, men kan utelates.
Vi har ikke sett noen utnyttelser som utfører kode ved hjelp av dette sikkerhetsproblemet.
Windows- og macOS-brukere du kan installere den nye versjonen oppdatering fra samme spiller eller nedlasting av VLC 3.0.11 fra det offisielle nettstedet, som du kan få tilgang til fra denne linken. Linux-brukere har den også tilgjengelig fra forrige lenke i forskjellige formater, men også i Flathub. I løpet av de neste dagene (eller til og med ukene) vil den nå de offisielle depotene for de fleste Linux-distribusjoner.