Er is een corrigerende release van de VLC 3.0.13 mediaspeler gepresenteerd (ondanks de aankondiging op de VideoLan-website van versie 3.0.13 is release 3.0.14 daadwerkelijk uitgebracht, inclusief hotfixes). De release repareert voornamelijk opgehoopte bugs en elimineert kwetsbaarheden.
Verbeteringen zijn onder meer de toevoeging van NFSv4-ondersteuning, verbeterde integratie met opslag op basis van het SMB2-protocol, verbeterde vloeiende weergave via Direct3D11, de toevoeging van horizontale asinstellingen voor het muiswiel en de mogelijkheid om SSA-ondertiteltekst te schalen. Onder de bugfixes wordt melding gemaakt van het elimineren van het probleem met het verschijnen van artefacten bij het afspelen van HLS-streams en het oplossen van problemen met audio in MP4-formaat.
De nieuwe release verhelpt een kwetsbaarheid die mogelijk kan leiden tot het uitvoeren van code wanneer een gebruiker interactie heeft met aangepaste afspeellijsten. Het probleem is vergelijkbaar met de onlangs aangekondigde kwetsbaarheid in OpenOffice en LibreOffice, die verband houdt met de mogelijkheid om koppelingen, inclusief uitvoerbare bestanden, in te sluiten die worden geopend nadat een gebruiker heeft geklikt zonder dialoogvensters weer te geven die bevestiging van de bewerking vereisen. Als voorbeeld laten we zien hoe u de uitvoering van uw code kunt organiseren door links als βfile:///run/user/1000/gvfs/sftp:host=β in de afspeellijst te plaatsen ,gebruiker= ", wanneer het wordt geopend, wordt een jar-bestand gedownload met behulp van het WebDav-protocol.
VLC 3.0.13 repareert ook verschillende andere kwetsbaarheden die worden veroorzaakt door fouten die ertoe leiden dat gegevens naar een gebied buiten de buffergrens worden geschreven bij het verwerken van onjuiste MP4-mediabestanden. Er is een bug opgelost in de Kate-decoder die ervoor zorgde dat de buffer werd gebruikt nadat deze was vrijgegeven. Er is een probleem opgelost in het automatische update-leveringssysteem waardoor updates konden worden vervalst tijdens MITM-aanvallen.
Bron: opennet.ru