Chưa đầy hai tháng sau phiên bản trước, VideoLAN đã ra mắt VLC 3.0.11. Giống như phiên bản ra mắt vào cuối tháng XNUMX, đây không phải là một bản phát hành quá thú vị, nhưng nó bổ sung thêm các cải tiến như sửa lỗi và cải tiến bảo mật. Cụ thể, họ đã sửa một lỗ hổng, CVE-2020-13428 rằng, mặc dù họ không đề cập đến nó trong báo cáo của họ, chúng tôi có thể nói rằng nó có mức độ ưu tiên trung bình hoặc cao, mặc dù trong báo cáo này cũng có điều gì đó để nói rằng việc khai thác lỗ hổng bảo mật dễ dàng như thế nào.
Đã sửa lỗi bảo mật có thể cho phép những kẻ tấn công từ xa thực hiện các lệnh hoặc làm hỏng trình phát VLC trên một máy tính dễ bị tấn công. Cụ thể, nó là "lỗi tràn bộ đệm trong gói gói VLC H26X" và có thể cho phép kẻ tấn công thực hiện các lệnh dưới cùng mức độ bảo mật với người dùng nếu được khai thác đúng cách.
VLC 3.0.11 hiện có sẵn cho Windows, macOS và Linux
Qua thông báo Mạng video:
Mã bị ảnh hưởng chỉ được sử dụng bởi bộ giải mã tăng tốc phần cứng macOS / iOS (VideoToolbox), có nghĩa là các nền tảng khác không bị ảnh hưởng.
Nếu thành công, một bên thứ ba độc hại có thể gây ra sự cố VLC hoặc thực thi mã tùy ý với các đặc quyền của người dùng mục tiêu.
Mặc dù bản thân những vấn đề này có khả năng chỉ gây ra sự cố cho trình phát, nhưng chúng tôi không thể loại trừ rằng chúng có thể được kết hợp để làm rò rỉ thông tin người dùng hoặc thực thi mã từ xa. ASLR và DEP giúp giảm khả năng thực thi mã, nhưng có thể được bỏ qua.
Chúng tôi chưa thấy bất kỳ vụ khai thác nào thực thi mã sử dụng lỗ hổng này.
Người dùng Windows và macOS bây giờ bạn có thể cài đặt phiên bản mới cập nhật từ cùng một trình phát hoặc tải xuống VLC 3.0.11 từ trang web chính thức mà bạn có thể truy cập liên kết này. Người dùng Linux cũng có nó từ liên kết trước ở các định dạng khác nhau, nhưng cũng có Flathub. Trong vài ngày tới (hoặc thậm chí vài tuần), nó sẽ đến kho lưu trữ chính thức của hầu hết các bản phân phối Linux.