È stata presentata una versione correttiva del lettore multimediale VLC 3.0.13 (nonostante l'annuncio sul sito VideoLan della versione 3.0.13, in realtà è stata rilasciata la versione 3.0.14, compresi gli hot fix). La versione risolve principalmente i bug accumulati ed elimina le vulnerabilità.
I miglioramenti includono l'aggiunta del supporto NFSv4, una migliore integrazione con l'archiviazione basata sul protocollo SMB2, una migliore fluidità del rendering tramite Direct3D11, l'aggiunta delle impostazioni dell'asse orizzontale per la rotella del mouse e la possibilità di ridimensionare il testo dei sottotitoli SSA. Tra le correzioni di bug si menziona l'eliminazione del problema con la comparsa di artefatti durante la riproduzione di flussi HLS e la risoluzione dei problemi con l'audio in formato MP4.
La nuova versione risolve una vulnerabilità che potrebbe potenzialmente portare all'esecuzione di codice quando un utente interagisce con playlist personalizzate. Il problema è simile a una vulnerabilità recentemente annunciata in OpenOffice e LibreOffice relativa alla capacità di incorporare collegamenti, inclusi file eseguibili, che vengono aperti dopo un clic dell'utente senza visualizzare finestre di dialogo che richiedono la conferma dell'operazione. Ad esempio, mostriamo come organizzare l'esecuzione del tuo codice inserendo collegamenti come “file:///run/user/1000/gvfs/sftp:host=” nella playlist ,utente= ", all'apertura viene scaricato un file jar utilizzando il protocollo WebDav.
VLC 3.0.13 corregge anche diverse altre vulnerabilità causate da errori che portano alla scrittura dei dati in un'area esterna al limite del buffer durante l'elaborazione di file multimediali MP4 errati. È stato corretto un bug in Kate Decoder che causava l'utilizzo del buffer dopo che veniva liberato. Risolto un problema nel sistema di distribuzione automatica degli aggiornamenti che consentiva lo spoofing degli aggiornamenti durante gli attacchi MITM.
Fonte: opennet.ru