VideoLan släppte VLC 3.0.11 som åtgärdar sårbarheten för kodexekvering med VLC media player 3.0.10 och tidigare versioner.
Sårbarheten kan spåras som CVE-2020-13428, kan en fjärrangripare utlösa ett buffertspill i VLC:s H26X-paketerare genom att använda en specifikt utformad fil.
Ett framgångsrikt utnyttjande av sårbarheten kan resultera i en krasch av VLC-mediaspelaren eller resultera i exekvering av godtycklig kod med målanvändarens privilegier.
"Även om dessa problem i sig med största sannolikhet bara kraschar spelaren, kan vi inte utesluta att de kan kombineras för att läcka användarinformation eller fjärrexekvera kod. ASLR och DEP hjälper till att minska sannolikheten för exekvering av kod, men kanske förbigås”, läser den rådgivande.
För att utnyttja sårbarheten måste målanvändaren explicit öppna den specialgjorda filen eller strömmen.
VideoLan bekräftar att "Vi har inte sett utnyttjar som utför kodexekvering genom dessa sårbarheter."
Användare rekommenderas att uppdatera med VLC media player 3.0.11 för att lösa problemet. Som en lösning rekommenderas användare att inte öppna filer från opålitliga källor.
Nu är VLC 3.0.11 tillgänglig för Windows, macOS, Android, iOS, Windows Phone och för Linux-distributioner.
VLC är en mycket bärbar multimediaspelare som stöder ett enormt antal multimediaformat, utan att ladda ner några ytterligare codecs.
Följande är korrigeringarna med 3.0.11
VLC 3.0.11 är den tolfte uppdateringen av "Vetinari":
Fixar HLS-regressioner
Åtgärdar en potentiell krasch vid start på macOS
Fixar oprecis sökning i m4a-filer
Fixar omsampling på Android
Åtgärdar en krasch när Bluray-monteringspunkter listas på macOS
Undvik onödiga behörighetsvarningar på macOS
Åtgärdar permanent tystnad på macOS efter paus i uppspelningen
Åtgärdar AAC-uppspelningsregression
Och en säkerhetsfråga
Komplett ändringslogg kan hittas här..
Du kan följa med oss på LinkedIn, Twitter, Facebook för dagliga Cybersecurity och nyheter om hacking.
Läs också
Sårbarhet med VLC för iOS tillåter angripare att stjäla data från lagring
Kritisk sårbarhet i VLC Media Player 3.0.7.1 Låt hackare exekvera godtycklig kod