VLC Media Player 3.0.11がリリースされました：重大なリモートコード実行の欠陥が修正されました

Table Of Content

報告によると、VideoLanは、VLC Media Player 3.0.11という名前の広く使用されているメディアプレーヤーの新しいバージョンをリリースしました。これは、Windows、Mac、Linuxなどのさまざまなプラットフォームでも利用できます。この新しいアップデートには、さまざまなバグ修正と改善が含まれていますが、ハッカーが脆弱なコンピュータでコマンドを実行したりVLCをクラッシュさせたりする可能性のあるセキュリティの脆弱性も修正されています。

前述のVLCの脆弱性はCVE-2020-13428として追跡され、ハッカーがさまざまなコマンドを実行することを可能にする「VLCのH26Xパケタイザでのバッファオーバーフロー」とも呼ばれます。これは、ユーザーと同じセキュリティレベルにすぎますが、脆弱性が適切に悪用されます。

VideoLanのレポートによると、この言及された脆弱性は、特別に開発されたファイルを作成し、対象のユーザーがVLCで開くファイルをクリックするように強制することで悪用される可能性があります。

さらに、この脆弱性はプレイヤーを確実にクラッシュさせると述べていますが、リモートベースでコマンドを実行するために攻撃者が使用する可能性もあります。 VideoLanの声明は次のとおりです。

「成功した場合、悪意のあるサードパーティがVLCのクラッシュまたはターゲットユーザーの権限を使用した任意のコード実行をトリガーする可能性があります。

これらの問題自体はプレーヤーをクラッシュさせるだけの可能性が高いですが、ユーザー情報の漏えいやコードのリモート実行のためにそれらが組み合わされる可能性があることを除外することはできません。 ASLRとDEPはコード実行の可能性を減らすのに役立ちますが、バイパスされる可能性があります。

これらの脆弱性を介してコード実行を実行するエクスプロイトは確認されていません。」

議論された脆弱性と問題のあるコードに関して公開することから、すべてのユーザーは最新バージョンのVLCを自分のマシンにダウンロードしてインストールすることをお勧めします。ここでは、新しいバージョンの完全な変更ログについて言及しました。

HLS回帰を修正
macOSでの起動時の潜在的なクラッシュを修正
m4aファイルでの不正確なシークを修正
Androidでのリサンプリングを修正
macOSでBlurayマウントポイントをリストする際のクラッシュを修正
macOSで不要な権限警告を回避する
再生を一時停止した後のmacOSの永続的な無音を修正
AAC再生の回帰を修正
そしてセキュリティの問題