Necelé dva mesiace po predchádzajúcu verziu, Spustila sa VideoLAN VLC 3.0.11. Rovnako ako verzia, ktorá dorazila na konci apríla, nejde o veľmi vzrušujúce vydanie, ale pridáva vylepšenia, ako sú opravy chýb a vylepšenia zabezpečenia. Konkrétne opravili zraniteľnosť CVE-2020 13428, že aj keď sa o tom vo svojej správe nezmieňujú, dalo by sa povedať, že má strednú alebo vysokú prioritu, aj keď v tejto má tiež čo povedať, aké ľahké je zneužiť túto zraniteľnosť.
Chyba zabezpečenia bola opravená mohol umožniť vzdialeným útočníkom vykonávať príkazy alebo zlyhať prehrávač VLC na zraniteľnom počítači. Konkrétne ide o „pretečenie medzipamäte v balíku paketov VLC H26X“ a môže útočníkom umožniť, aby pri správnom využívaní vykonávali príkazy s rovnakou úrovňou zabezpečenia ako používateľ.
VLC 3.0.11 je teraz k dispozícii pre Windows, macOS a Linux
Podľa informuje VideoLAN:
Ovplyvnený kód použil iba hardvérovo akcelerovaný dekodér macOS / iOS (VideoToolbox), čo znamená, že to nebude mať vplyv na iné platformy.
Ak bude úspešná, škodlivá tretia strana môže spustiť zlyhanie VLC alebo spustenie ľubovoľného kódu s oprávneniami cieľového používateľa.
Aj keď je pravdepodobné, že tieto problémy samy o sebe prehrajú iba hráča, nemôžeme vylúčiť, že ich je možné kombinovať na únik informácií o používateľovi alebo na vzdialené spustenie kódu. ASLR a DEP pomáhajú znižovať pravdepodobnosť spustenia kódu, ale je možné ich vynechať.
Nevideli sme žiadne zneužitia, ktoré by spúšťali kód pomocou tejto chyby zabezpečenia.
Používatelia Windows a macOS teraz môžete nainštalovať novú verziu aktualizácia z rovnakého prehrávača alebo sťahovanie VLC 3.0.11 z oficiálnych webových stránok, na ktoré máte prístup ce lien. Používatelia systému Linux ho majú tiež k dispozícii od predchádzajúceho odkazu v rôznych formátoch, ale aj v Flathub. V najbližších dňoch (alebo dokonca týždňoch) sa dostane do oficiálnych úložísk väčšiny distribúcií Linuxu.