Zaprezentowano wydanie korygujące odtwarzacza multimedialnego VLC 3.0.13 (pomimo ogłoszenia na stronie VideoLan wersji 3.0.13, faktycznie ukazała się wersja 3.0.14, zawierająca poprawki). Wydanie głównie naprawia nagromadzone błędy i eliminuje luki.
Ulepszenia obejmują dodanie obsługi NFSv4, lepszą integrację z pamięcią masową opartą na protokole SMB2, lepszą płynność renderowania poprzez Direct3D11, dodanie ustawień osi poziomej dla kółka myszy oraz możliwość skalowania tekstu napisów SSA. Wśród poprawek błędów wspomniano o wyeliminowaniu problemu pojawiania się artefaktów podczas odtwarzania strumieni HLS oraz rozwiązaniu problemów z dźwiękiem w formacie MP4.
Nowa wersja usuwa lukę, która może potencjalnie doprowadzić do wykonania kodu, gdy użytkownik wejdzie w interakcję z dostosowanymi listami odtwarzania. Problem jest podobny do niedawno ogłoszonej luki w OpenOffice i LibreOffice, związanej z możliwością osadzania linków, w tym plików wykonywalnych, które otwierają się po kliknięciu przez użytkownika bez wyświetlania okien dialogowych wymagających potwierdzenia operacji. Jako przykład pokazujemy, jak możesz zorganizować wykonanie swojego kodu, umieszczając linki takie jak „file:///run/user/1000/gvfs/sftp:host=” na liście odtwarzania ,użytkownik= ", po otwarciu pobierany jest plik jar przy użyciu protokołu WebDav.
VLC 3.0.13 naprawia także kilka innych luk spowodowanych błędami, które prowadzą do zapisywania danych w obszarze poza granicą bufora podczas przetwarzania nieprawidłowych plików multimedialnych MP4. Naprawiono błąd w dekoderze kate, który powodował, że bufor był używany po jego zwolnieniu. Naprawiono błąd w systemie automatycznego dostarczania aktualizacji, który umożliwiał fałszowanie aktualizacji podczas ataków MITM.
Źródło: opennet.ru