不到两个月后 以前的版本,VideoLAN已启动 VLC 3.0.11。 与XNUMX月底发布的版本一样,这不是一个令人兴奋的版本,但它确实增加了一些改进,例如错误修复和安全性改进。 具体来说,他们已更正了一个漏洞, CVE-2020-13428 尽管他们没有在报告中提及它,但是我们可以说它是中等优先级或高度优先级,尽管在此还可以说利用漏洞的难易程度。
修复了安全漏洞 可能允许远程攻击者执行命令 或使VLC播放器在易受攻击的计算机上崩溃。 具体来说,这是“ VLC H26X数据包中的缓冲区溢出”,如果利用得当,攻击者可以在与用户相同的安全级别下执行命令。
VLC 3.0.11现在可用于Windows,macOS和Linux
通过 告知 VideoLAN:
受影响的代码仅由macOS / iOS硬件加速解码器(VideoToolbox)使用,这意味着其他平台不受影响。
如果成功,则恶意第三方可以利用目标用户的特权触发VLC崩溃或任意代码执行。
虽然这些问题本身可能只会使播放器崩溃,但我们不能排除将它们组合在一起以泄露用户信息或远程执行代码的可能性。 ASLR和DEP有助于减少代码执行的可能性,但是可以省略。
我们没有看到利用此漏洞执行代码的任何利用。
Windows和macOS用户 您现在可以安装新版本 从同一播放器更新或从官方网站下载VLC 3.0.11,您可以从以下网站访问 此链接。 Linux用户还可以从上一链接以不同的格式获得该文件,但也可以在 Flathub。 在接下来的几天(甚至几周)内,它将到达大多数Linux发行版的官方存储库。