Не минуло і двох місяців після попередня версія, Запущено VideoLAN VLC 3.0.11. Як і версія, яка надійшла наприкінці квітня, це не дуже захоплюючий випуск, але він додає вдосконалення, такі як виправлення помилок та покращення безпеки. Зокрема, вони виправили уразливість, CVE-2020-13428 що, хоча вони не згадують про це у своєму звіті, ми могли б сказати, що він має середній або високий пріоритет, хоча в цьому він також має що сказати, наскільки легко використовувати вразливість.
Виправлена помилка безпеки може дозволити віддаленим зловмисникам виконувати команди або розбийте програвач VLC на вразливому комп’ютері. Зокрема, це "переповнення буфера в пакетному пакеті VLC H26X" і може дозволити зловмисникам виконувати команди під тим самим рівнем безпеки, що і користувач, якщо їх правильно використовувати.
VLC 3.0.11 тепер доступний для Windows, macOS та Linux
За повідомляє VideoLAN:
Зазначений код використовувався лише апаратно-прискореним декодером macOS / iOS (VideoToolbox), що означає, що інші платформи не зачіпаються.
У разі успіху зловмисна третя сторона може викликати збій VLC або довільне виконання коду з привілеями цільового користувача.
Незважаючи на те, що ці проблеми самі по собі можуть спричинити лише збій програвача, ми не можемо виключити, що їх можна комбінувати для витоку інформації про користувача або віддаленого виконання коду. ASLR та DEP допомагають зменшити ймовірність виконання коду, але їх можна опустити.
Ми не бачили жодних експлойтів, які виконують код із використанням цієї вразливості.
Користувачі Windows та macOS Ви можете встановити нову версію оновлення з того самого програвача або завантаження VLC 3.0.11 з офіційного веб-сайту, до якого ви можете отримати доступ посилання. Користувачі Linux також доступні з попереднього посилання у різних форматах, але також у Флатхуб. У найближчі кілька днів (або навіть тижнів) він потрапить до офіційних сховищ більшості дистрибутивів Linux.