Denne sårbarhed er registreret som CVE-2020-13428 og omtales værende en "buffer overflow in VLC's H26X packetizer", der vil give hackere mulighed for at udføre kommandoer under det samme sikkerhedsniveau som brugeren, hvis de udnyttes korrekt. Dermed kan hackeren bevæge på din PC uden din viden.
I henhold til VideoLans sikkerhedsbulletin, kan denne sårbarhed udnyttes ved at oprette en specielt skræddersyet fil, og narre en bruger til at åbne den med VLC.
VideoLan forklarer ligeledes, at denne sårbarhed sandsynligvis vil ødelægge VLC-afspilleren.
“If successful, a malicious third party could trigger either a crash of VLC or an arbitratry code execution with the privileges of the target user.
While these issues in themselves are most likely to just crash the player, we can't exclude that they could be combined to leak user informations or remotely execute code. ASLR and DEP help reduce the likelyness of code execution, but may be bypassed.
We have not seen exploits performing code execution through these vulnerability”
- VideoLan
På grund af kompleksiteten af denne sårbarhed og offentliggørelsen af den problematiske kode anbefales det stærkt, at alle brugere downloader og installerer VLC Media Player 3.0.11
Den komplette changelog til version 3.0.11 kan findes nedenfor:
- Fixes HLS regressions
- Fixes a potential crash on startup on macOS
- Fixes imprecise seeking in m4a files
- Fixes resampling on Android
- Fixes a crash when listing bluray mountpoints on macOS
- Avoid unnecessary permission warnings on macOS
- Fixes permanent silence on macOS after pausing playback
- Fixes AAC playback regression
- And a security issue
Source & Image credit:
VideoLan