Manj kot dva meseca po tem prejšnja različica, VideoLAN se je začel VLC 3.0.11. Tako kot različica, ki je prispela konec aprila, tudi to ni zelo razburljiva izdaja, vendar dodaja izboljšave, kot so popravki napak in varnostne izboljšave. Natančneje, odpravili so ranljivost, CVE-2020-13428 da, čeprav ga v svojem poročilu ne omenjajo, bi lahko rekli, da je srednje ali visoko prednostno, čeprav ima tudi v tem nekaj povedati, kako enostavno je izkoristiti ranljivost.
Varnostna napaka je odpravljena lahko oddaljenim napadalcem omogočil izvajanje ukazov ali zrušite predvajalnik VLC na ranljivem računalniku. Natančneje, gre za "prelivanje medpomnilnika v paketnem paketu VLC H26X" in lahko napadalcem dovoli izvajanje ukazov pod enako stopnjo varnosti kot uporabnik, če je pravilno izkoriščen.
VLC 3.0.11 je zdaj na voljo za Windows, macOS in Linux
Z obvešča VideoLAN:
Prizadeto kodo je uporabil le strojno pospešeni dekodirnik macOS / iOS (VideoToolbox), kar pomeni, da druge platforme niso prizadete.
V primeru uspeha lahko zlonamerna tretja oseba sproži zrušitev VLC ali samovoljno izvajanje kode s privilegiji ciljnega uporabnika.
Čeprav bodo te težave same verjetno povzročile samo zrušitev predvajalnika, ne moremo izključiti, da jih je mogoče kombinirati za uhajanje uporabniških informacij ali izvajanje kode na daljavo. ASLR in DEP pomagata zmanjšati verjetnost izvajanja kode, vendar ju je mogoče izpustiti.
Nismo videli nobenega izkoriščanja, ki bi izvajalo kodo s to ranljivostjo.
Uporabniki sistema Windows in macOS zdaj lahko namestite novo različico posodabljanje iz istega predvajalnika ali prenos VLC 3.0.11 z uradne spletne strani, do katere lahko dostopate ta povezava. Uporabniki Linuxa ga imajo na voljo tudi s prejšnje povezave v različnih oblikah, pa tudi v Flathub. V naslednjih dneh (ali celo tednih) bo prišel v uradna skladišča večine distribucij Linuxa.