VLC 3.0.11 llega principalmente para solucionar fallos y corregir una vulnerabilidad
Menos de dos meses después de la versión anterior, VideoLAN ha lanzado VLC 3.0.11. Como la versión que llegó a finales de abril, no se trata de un lanzamiento muy emocionante, pero sí que añade mejoras como solución de errores y mejoras de seguridad. Concretamente, han corregido una vulnerabilidad, la CVE-2020-13428 que, aunque en su informe no lo mencionan, podríamos decir que es de prioridad media o alta, aunque en esto también tiene algo que decir lo fácil que sea explotar la vulnerabilidad.
El fallo de seguridad corregido podía permitir a atacantes remotos ejecutar comandos o bloquear el reproductor VLC en un equipo vulnerable. Concretamente, se trata de un «desbordamiento del búfer en el paquete de paquetes H26X de VLC» y puede permitir a los atacantes ejecutar comandos bajo el mismo nivel de seguridad que el usuario si es convenientemente explotado.
VLC 3.0.11 ya diaponible para Windows, macOS y Linux
Según informa VideoLAN:
El código afectado solo fue utilizado por el decodificador acelerado de hardware macOS/iOS (VideoToolbox), lo que significa que otras plataformas no se ven afectadas.
Si tiene éxito, un tercero malintencionado podría desencadenar un bloqueo de VLC o una ejecución de código arbitrario con los privilegios del usuario objetivo.
Si bien es probable que estos problemas en sí mismos solo bloquean el reproductor, no podemos excluir que se puedan combinar para filtrar información del usuario o ejecutar código de forma remota. ASLR y DEP ayudan a reducir la probabilidad de ejecución de código, pero pueden omitirse.
No hemos visto exploits que ejecuten código mediante esta vulnerabilidad.
Los usuarios de Windows y macOS ya pueden instalar la nueva versión actualizando desde el mismo reproductor o descargando VLC 3.0.11 desde la página web oficial, a la que podéis acceder desde este enlace. Los usuarios de Linux también lo tenemos disponible desde el enlace anterior en diferentes formatos, pero también en Flathub. En los próximos días (o incluso semanas), llegará a los repositorios oficiales de la mayoría de distribuciones Linux.