En korrigerende utgivelse av VLC 3.0.13-mediespilleren har blitt presentert (til tross for kunngjøringen på VideoLan-nettstedet for versjon 3.0.13, ble utgivelse 3.0.14 faktisk utgitt, inkludert hurtigreparasjoner). Utgivelsen fikser hovedsakelig akkumulerte feil og eliminerer sårbarheter.
Forbedringer inkluderer tillegg av NFSv4-støtte, forbedret integrasjon med lagring basert på SMB2-protokollen, forbedret gjengivelsesglatthet via Direct3D11, tillegg av horisontale akseinnstillinger for musehjulet og muligheten til å skalere SSA-underteksttekst. Blant feilrettingene nevnes det å eliminere problemet med utseendet til artefakter ved avspilling av HLS-strømmer og å løse problemer med lyd i MP4-format.
Den nye utgivelsen adresserer en sårbarhet som potensielt kan føre til kodekjøring når en bruker samhandler med tilpassede spillelister. Problemet ligner den nylig annonserte sårbarheten i OpenOffice og LibreOffice, assosiert med muligheten til å bygge inn lenker, inkludert kjørbare filer, som åpnes etter et brukerklikk uten å vise dialoger som krever bekreftelse av operasjonen. Som et eksempel viser vi hvordan du kan organisere kjøringen av koden din ved å plassere lenker som "file:///run/user/1000/gvfs/sftp:host=" i spillelisten ,bruker= ", når den åpnes, lastes en jar-fil ned ved hjelp av WebDav-protokollen.
VLC 3.0.13 fikser også flere andre sårbarheter forårsaket av feil som fører til at data skrives til et område utenfor buffergrensen ved behandling av feil MP4-mediefiler. En feil har blitt fikset i kate-dekoderen som førte til at bufferen ble brukt etter at den ble frigjort. Rettet et problem i det automatiske leveringssystemet for oppdateringer som tillot at oppdateringer ble forfalsket under MITM-angrep.
Kilde: opennet.ru