En korrigerende udgivelse af VLC 3.0.13 medieafspilleren er blevet præsenteret (på trods af meddelelsen på VideoLan-webstedet af version 3.0.13, blev release 3.0.14 faktisk udgivet, inklusive hotfixes). Udgivelsen retter hovedsageligt akkumulerede fejl og eliminerer sårbarheder.
Forbedringer omfatter tilføjelsen af NFSv4-understøttelse, forbedret integration med lagring baseret på SMB2-protokollen, forbedret gengivelsesglathed via Direct3D11, tilføjelsen af horisontale akseindstillinger for musehjulet og muligheden for at skalere SSA-underteksttekst. Blandt fejlrettelserne nævnes eliminering af problemet med fremkomsten af artefakter ved afspilning af HLS-streams og løsning af problemer med lyd i MP4-format.
Den nye udgivelse adresserer en sårbarhed, der potentielt kan føre til kodekørsel, når en bruger interagerer med tilpassede afspilningslister. Problemet ligner den nyligt annoncerede sårbarhed i OpenOffice og LibreOffice, forbundet med muligheden for at indlejre links, inklusive eksekverbare filer, der åbnes efter et brugerklik uden at vise dialoger, der kræver bekræftelse af handlingen. Som et eksempel viser vi, hvordan du kan organisere udførelsen af din kode ved at placere links som "file:///run/user/1000/gvfs/sftp:host=" i afspilningslisten ,bruger= ", når den åbnes, downloades en jar-fil ved hjælp af WebDav-protokollen.
VLC 3.0.13 retter også flere andre sårbarheder forårsaget af fejl, der fører til, at data bliver skrevet til et område uden for buffergrænsen, når der behandles forkerte MP4-mediefiler. En fejl er blevet rettet i kate-dekoderen, der forårsagede, at bufferen blev brugt, efter at den blev frigivet. Rettede et problem i det automatiske leveringssystem for opdateringer, der gjorde det muligt at forfalske opdateringer under MITM-angreb.
Kilde: opennet.ru