Presentouse unha versión correctiva do reprodutor multimedia VLC 3.0.13 (a pesar do anuncio no sitio web de VideoLan da versión 3.0.13, realmente lanzouse a versión 3.0.14, incluíndo as correccións rápidas). A versión soluciona principalmente erros acumulados e elimina vulnerabilidades.
As melloras inclúen a adición de compatibilidade con NFSv4, a integración mellorada co almacenamento baseado no protocolo SMB2, a suavidade de renderización mellorada a través de Direct3D11, a adición de configuracións de eixe horizontal para a roda do rato e a posibilidade de escalar o texto dos subtítulos SSA. Entre as correccións de erros, menciónase a eliminación do problema coa aparición de artefactos ao reproducir fluxos HLS e a resolución de problemas co audio en formato MP4.
A nova versión aborda unha vulnerabilidade que podería levar á execución de código cando un usuario interactúa con listas de reprodución personalizadas. O problema é semellante a unha vulnerabilidade anunciada recentemente en OpenOffice e LibreOffice relacionada coa capacidade de incrustar ligazóns, incluídos os ficheiros executables, que se abren despois de que un usuario prema sen mostrar diálogos que requiran a confirmación da operación. Como exemplo, mostramos como podes organizar a execución do teu código colocando ligazóns como "file:///run/user/1000/gvfs/sftp:host=" na lista de reprodución. ,usuario= ", cando se abre, descárgase un ficheiro jar usando o protocolo WebDav.
VLC 3.0.13 tamén corrixe outras vulnerabilidades causadas por erros que provocan que os datos se escriban nunha área fóra do límite do búfer ao procesar ficheiros multimedia MP4 incorrectos. Solucionouse un erro no decodificador de Kate que facía que se usase o búfer despois de liberalo. Solucionouse un problema no sistema de entrega automática de actualizacións que permitía falsificar as actualizacións durante os ataques MITM.
Fonte: opennet.ru