VLC 3.0.13 媒体播放器的修正版本已经发布(尽管 VideoLan 网站上发布了版本 3.0.13,但实际上已经发布了版本 3.0.14,包括修补程序)。 该版本主要修复累积的Bug并消除漏洞。
改进包括添加 NFSv4 支持、改进与基于 SMB2 协议的存储的集成、通过 Direct3D11 改进渲染平滑度、添加鼠标滚轮的水平轴设置以及缩放 SSA 字幕文本的功能。 在错误修复中,提到消除了播放 HLS 流时出现伪影的问题以及解决 MP4 格式音频的问题。
新版本解决了用户与自定义播放列表交互时可能导致代码执行的漏洞。 该问题类似于 OpenOffice 和 LibreOffice 最近公布的一个漏洞,该漏洞涉及嵌入链接(包括可执行文件)的能力,这些链接在用户单击后打开,而不显示需要确认操作的对话框。 作为示例,我们展示了如何通过在播放列表中放置“file:///run/user/1000/gvfs/sftp:host=”等链接来组织代码的执行,用户= ",打开后,会使用 WebDav 协议下载 jar 文件。
VLC 3.0.13 还修复了其他几个由错误引起的漏洞,这些错误导致在处理不正确的 MP4 媒体文件时数据被写入缓冲区边界之外的区域。 kate 解码器中修复了导致缓冲区释放后仍被使用的错误。 修复了自动更新交付系统中的一个问题,该问题允许在 MITM 攻击期间欺骗更新。
来源: opennet.ru