不到兩個月後 以前的版本,VideoLAN已啟動 VLC 3.0.11。 與XNUMX月底發布的版本一樣,這不是一個非常令人興奮的版本,但它確實增加了一些改進,例如錯誤修復和安全性改進。 具體來說,他們已更正了一個漏洞, CVE-2020,13428 儘管他們沒有在報告中提及它,但是我們可以說它是中等或高度優先,儘管在此它也可以說利用該漏洞有多麼容易。
修復了安全漏洞 可能允許遠程攻擊者執行命令 或使VLC播放器在易受攻擊的計算機上崩潰。 具體來說,這是“ VLC H26X數據包中的緩衝區溢出”,如果利用得當,攻擊者可以在與用戶相同的安全級別下執行命令。
VLC 3.0.11現在可用於Windows,macOS和Linux
通過 報告 VideoLAN:
受影響的代碼僅由macOS / iOS硬件加速解碼器(VideoToolbox)使用,這意味著其他平台不受影響。
如果成功,則惡意第三方可以利用目標用戶的特權觸發VLC崩潰或任意代碼執行。
儘管這些問題本身可能只會使播放器崩潰,但我們不能排除將它們組合在一起以洩露用戶信息或遠程執行代碼的可能性。 ASLR和DEP有助於減少代碼執行的可能性,但是可以省略。
我們沒有看到利用此漏洞執行代碼的任何利用。
Windows和macOS用戶 您現在可以安裝新版本 從同一播放器更新或從官方網站下載VLC 3.0.11,您可以從以下網站訪問 此鏈接。 Linux用戶還可以通過以前的鏈接以不同的格式來使用它,但也可以通過以下方式獲得它: Flathub。 在接下來的幾天(甚至幾週)內,它將到達大多數Linux發行版的官方存儲庫。