En korrigerande utgåva av VLC 3.0.13 mediaspelare har presenterats (trots tillkännagivandet på VideoLans webbplats för version 3.0.13, släpptes faktiskt version 3.0.14, inklusive snabbkorrigeringar). Utgåvan fixar huvudsakligen ackumulerade buggar och eliminerar sårbarheter.
Förbättringar inkluderar tillägget av NFSv4-stöd, förbättrad integration med lagring baserat på SMB2-protokollet, förbättrad renderingsjämnhet via Direct3D11, tillägg av horisontella axelinställningar för mushjulet och möjligheten att skala SSA-undertexter. Bland buggfixarna nämns att eliminera problemet med uppkomsten av artefakter vid uppspelning av HLS-strömmar och att lösa problem med ljud i MP4-format.
Den nya utgåvan åtgärdar en sårbarhet som potentiellt kan leda till kodexekvering när en användare interagerar med anpassade spellistor. Problemet liknar den nyligen tillkännagivna sårbarheten i OpenOffice och LibreOffice, associerad med möjligheten att bädda in länkar, inklusive körbara filer, som öppnas efter ett användarklick utan att visa dialogrutor som kräver bekräftelse av åtgärden. Som ett exempel visar vi hur du kan organisera exekveringen av din kod genom att placera länkar som "file:///run/user/1000/gvfs/sftp:host=" i spellistan ,användare= ", när den öppnas laddas en jar-fil ned med hjälp av WebDav-protokollet.
VLC 3.0.13 fixar även flera andra sårbarheter orsakade av fel som leder till att data skrivs till ett område utanför buffertgränsen vid bearbetning av felaktiga MP4-mediafiler. En bugg har fixats i kate-avkodaren som gjorde att bufferten användes efter att den frigjordes. Fixade ett problem i det automatiska leveranssystemet för uppdateringar som gjorde att uppdateringar kunde förfalskas under MITM-attacker.
Källa: opennet.ru