VLC 3.0.11 llega principalmente para solucionar fallos y corregir una vulnerabilidad

VLC 3.0.10

Menos de dos meses después de la versión anterior, VideoLAN ha lanzado VLC 3.0.11. Como la versión que llegó a finales de abril, no se trata de un lanzamiento muy emocionante, pero sí que añade mejoras como solución de errores y mejoras de seguridad. Concretamente, han corregido una vulnerabilidad, la CVE-2020-13428 que, aunque en su informe no lo mencionan, podríamos decir que es de prioridad media o alta, aunque en esto también tiene algo que decir lo fácil que sea explotar la vulnerabilidad.

El fallo de seguridad corregido podía permitir a atacantes remotos ejecutar comandos o bloquear el reproductor VLC en un equipo vulnerable. Concretamente, se trata de un «desbordamiento del búfer en el paquete de paquetes H26X de VLC» y puede permitir a los atacantes ejecutar comandos bajo el mismo nivel de seguridad que el usuario si es convenientemente explotado.

VLC 3.0.11 ya diaponible para Windows, macOS y Linux

Según informa VideoLAN:

El código afectado solo fue utilizado por el decodificador acelerado de hardware macOS/iOS (VideoToolbox), lo que significa que otras plataformas no se ven afectadas.

Si tiene éxito, un tercero malintencionado podría desencadenar un bloqueo de VLC o una ejecución de código arbitrario con los privilegios del usuario objetivo.

Si bien es probable que estos problemas en sí mismos solo bloquean el reproductor, no podemos excluir que se puedan combinar para filtrar información del usuario o ejecutar código de forma remota. ASLR y DEP ayudan a reducir la probabilidad de ejecución de código, pero pueden omitirse.

No hemos visto exploits que ejecuten código mediante esta vulnerabilidad.

Los usuarios de Windows y macOS ya pueden instalar la nueva versión actualizando desde el mismo reproductor o descargando VLC 3.0.11 desde la página web oficial, a la que podéis acceder desde este enlace. Los usuarios de Linux también lo tenemos disponible desde el enlace anterior en diferentes formatos, pero también en Flathub. En los próximos días (o incluso semanas), llegará a los repositorios oficiales de la mayoría de distribuciones Linux.


Sé el primero en comentar

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.