VLC Media Player 3.0.11發布：修復了嚴重的遠程代碼執行缺陷

VLC Player更新包含針對遠程代碼執行缺陷的修復程序

據報導，VideoLan已發布了其廣泛使用的媒體播放器的新版本，名為VLC Media Player 3.0.11，該版本也可用於Windows，Mac和Linux等不同平台。此新更新包括各種錯誤修復和改進，但是還修復了安全漏洞，該漏洞可能導致黑客在易受攻擊的計算機上執行命令或使VLC崩潰。

VLC中的上述漏洞被跟踪為CVE-2020-13428，也被稱為“ VLC H26X打包程序中的緩衝區溢出”，這將允許黑客執行各種命令，並且與用戶的安全級別相同，但是如果漏洞已得到適當利用。

根據VideoLan的報告，可以通過創建專門開發的文件並強制目標用戶單擊該文件以使用VLC打開來利用此漏洞。

此外，該公司不得不說該漏洞肯定會導致玩家崩潰，但是攻擊者也可能使用該漏洞來遠程執行命令。這是VideoLan的聲明：

“如果成功，惡意第三方可以利用目標用戶的特權觸發VLC崩潰或套利代碼執行。

儘管這些問題本身很可能會使播放器崩潰，但我們不能排除將它們組合在一起以洩露用戶信息或遠程執行代碼的可能性。 ASLR和DEP有助於減少代碼執行的可能性，但可能會被繞過。

我們還沒有看到通過這些漏洞執行代碼執行的漏洞”

由於討論的漏洞及其對有問題的代碼的公開披露，建議所有用戶在其計算機上下載並安裝最新版本的VLC。這裡提到了較新版本的完整更改日誌：

修復HLS回歸
修復了在macOS上啟動時可能發生的崩潰
修復了m4a文件中不精確的查找
修復了Android上的重採樣
修復了在macOS上列出Bluray掛載點時的崩潰
避免在macOS上出現不必要的權限警告
修復暫停播放後macOS上的永久靜音
修復了AAC播放回歸
還有一個安全問題