VLC Media Player 3.0.11 veröffentlicht: Schwerwiegender Fehler bei der Ausführung von Remotecode behoben
Das VLC Player-Update enthält Korrekturen für Fehler bei der Remotecodeausführung
Berichten zufolge hat das VideoLan eine neue Version seines weit verbreiteten Mediaplayers namens VLC Media Player 3.0.11 veröffentlicht, die auch für verschiedene Plattformen wie Windows, Mac und Linux verfügbar ist. Dieses neue Update enthält verschiedene Fehlerkorrekturen und Verbesserungen. Es hat jedoch auch eine Sicherheitslücke behoben, die dazu führen kann, dass Hacker Befehle ausführen oder VLC auf anfälligen Computern zum Absturz bringen.
Die oben erwähnte Sicherheitsanfälligkeit in VLC wird als CVE-2020-13428 verfolgt und auch als “Pufferüberlauf im H26X-Paketierer von VLC” bezeichnet, der es Hackern ermöglichen würde, verschiedene Befehle auszuführen, und das ist zu unter der gleichen Sicherheitsstufe wie der Benutzer, aber wenn diese Schwachstellen werden ordnungsgemäß ausgenutzt.
Laut den Berichten von VideoLan kann diese erwähnte Sicherheitsanfälligkeit ausgenutzt werden, indem eine speziell entwickelte Datei erstellt und ein Zielbenutzer gezwungen wird, auf die Datei zu klicken, um sie mit VLC zu öffnen.
Darüber hinaus muss das Unternehmen sagen, dass die Sicherheitsanfälligkeit den Spieler sicherlich zum Absturz bringen wird, sie könnte jedoch auch von Angreifern verwendet werden, um Befehle auf Remote-Basis auszuführen. Hier ist die Aussage von VideoLan:
„Bei Erfolg kann ein böswilliger Dritter entweder einen Absturz von VLC oder eine Ausführung von Arbitratry-Code mit den Berechtigungen des Zielbenutzers auslösen. Obwohl diese Probleme an sich höchstwahrscheinlich nur den Player zum Absturz bringen, können wir nicht ausschließen, dass sie kombiniert werden können, um Benutzerinformationen zu verlieren oder Code aus der Ferne auszuführen. ASLR und DEP verringern die Wahrscheinlichkeit der Codeausführung, können jedoch umgangen werden. Wir haben keine Exploits gesehen, die die Codeausführung durch diese Sicherheitsanfälligkeit durchführen. “
Aufgrund der besprochenen Sicherheitslücken und der Offenlegung in Bezug auf problematischen Code wird allen Benutzern empfohlen, die neueste Version von VLC auf ihren Computer herunterzuladen und zu installieren. Hier wurde das vollständige Änderungsprotokoll für die neuere Version erwähnt:
Behebt HLS-Regressionen Behebt einen möglichen Absturz beim Start unter macOS Behebt ungenaue Suchvorgänge in m4a-Dateien Behebt das Resampling unter Android Behebt einen Absturz beim Auflisten von unscharfen Mountpunkten unter macOS Vermeiden Sie unnötige Berechtigungswarnungen unter macOS Behebt die permanente Stille unter macOS nach dem Anhalten der Wiedergabe Behebt die Regression der AAC-Wiedergabe Und ein Sicherheitsproblem