Niecałe dwa miesiące później poprzednia wersja, VideoLAN został uruchomiony VLC 3.0.11. Podobnie jak wersja, która pojawiła się pod koniec kwietnia, nie jest to zbyt ekscytujące wydanie, ale zawiera ulepszenia, takie jak poprawki błędów i ulepszenia bezpieczeństwa. W szczególności poprawili lukę w zabezpieczeniach CVE-2020-13428 że chociaż nie wspominają o tym w swoim sprawozdaniu, możemy powiedzieć, że ma to średni lub wysoki priorytet, chociaż w tym przypadku również ma coś do powiedzenia, jak łatwo jest wykorzystać tę lukę.
Naprawiono błąd bezpieczeństwa może umożliwić zdalnym napastnikom wykonywanie poleceń lub zawieszenie odtwarzacza VLC na podatnym na ataki komputerze. W szczególności jest to „przepełnienie bufora w pakiecie pakietów VLC H26X” i może pozwolić atakującym na wykonywanie poleceń z tym samym poziomem bezpieczeństwa co użytkownik, jeśli zostanie odpowiednio wykorzystany.
VLC 3.0.11 jest teraz dostępny dla systemów Windows, macOS i Linux
Przez informuje WideoLAN:
Kod, którego dotyczy problem, był używany tylko przez dekoder przyspieszany sprzętowo systemu macOS / iOS (VideoToolbox), co oznacza, że nie ma on wpływu na inne platformy.
Jeśli się powiedzie, złośliwa strona trzecia może spowodować awarię VLC lub wykonanie dowolnego kodu z uprawnieniami użytkownika docelowego.
Chociaż same te problemy mogą tylko spowodować awarię odtwarzacza, nie możemy wykluczyć, że można je połączyć w celu ujawnienia informacji o użytkowniku lub zdalnego wykonania kodu. ASLR i DEP pomagają zmniejszyć prawdopodobieństwo wykonania kodu, ale można je pominąć.
Nie widzieliśmy żadnych exploitów wykonujących kod z wykorzystaniem tej luki.
Użytkownicy systemów Windows i macOS możesz teraz zainstalować nową wersję aktualizacja z tego samego odtwarzacza lub pobranie VLC 3.0.11 z oficjalnej strony internetowej, do której można uzyskać dostęp ten link. Użytkownicy Linuksa również mają go dostępnego z poprzedniego linku w różnych formatach, ale także w Flathub. W ciągu najbliższych kilku dni (lub nawet tygodni) dotrze do oficjalnych repozytoriów większości dystrybucji Linuksa.