VLC 3.0.13 llega a solucionar algunas vulnerabilidades
Hace pocos dias se presentó la liberación de una versión correctiva del reproductor multimedia VLC 3.0.13 (a pesar del anuncio en el sitio web VideoLan de la versión 3.0.13, de hecho se lanzó la versión 3.0.14, incluidas las correcciones en la búsqueda). En la versión, los errores acumulados se corrigen principalmente y se eliminan las vulnerabilidades.
Entre las mejoras observadas se encuentran la adición de soporte NFSv4, integración mejorada con almacenamientos basados en el protocolo SMB2, suavidad mejorada de renderizado a través de Direct3D11, configuración de eje horizontal agregada para la rueda del mouse e implementación de la capacidad de escalar el texto de subtítulos SSA.
Las correcciones de errores mencionan cómo solucionar el problema con la aparición de artefactos al reproducir transmisiones HLS y solucionar problemas con el audio en formato MP4. La nueva versión resuelve una vulnerabilidad que podría conducir a la ejecución de código cuando un usuario interactúa con listas de reproducción especialmente diseñadas.
El problema es similar a la vulnerabilidad recientemente anunciada en OpenOffice y LibreOffice relacionada con la capacidad de incrustar enlaces, incluidos archivos ejecutables que se abren después de que un usuario hace clic sin mostrar cuadros de diálogo que requieren confirmación de la operación. Como ejemplo, se muestra cómo puede organizar la ejecución de su código colocando enlaces en la lista de reproducción con el formato «file:///run/user/1000/gvfs/sftp:host=<host>, user=<usuario>», cuando se abre, se le da jar -file cargado usando el protocolo WebDav.
VLC 3.0.13 también corrige varias otras vulnerabilidades causadas por errores que conducen a escribir datos en el área fuera del búfer al procesar archivos multimedia no válidos en formato MP4. Se corrigió un error en el decodificador kate que causaba que el búfer se usara después de que se liberara.
Además de que se corrigió un problema en el sistema de entrega automática de actualizaciones, que permite falsificar una actualización durante los ataques MITM.
También se menciona que se han abordado múltiples vulnerabilidades de ejecución remota de código en VLC Media Player 3.0.12 que podrían usarse para «desencadenar un bloqueo de VLC o una ejecución de código arbitrario con los privilegios del usuario objetivo». Afortunadamente, las versiones de VLC hasta la 3.0.11 inclusive no incluyen el error de actualización automática, por lo que pueden actualizarse fácilmente a una versión parcheada utilizando el sistema de actualización automática integrado de la aplicación.
¿Cómo instalar VLC Media Player en Linux?
Para los que son usuarios de Debian, Ubuntu, Linux Mint y derivados, basta con teclear en la terminal lo siguiente:
sudo apt-get update sudo apt-get install vlc browser-plugin-vlc
Mientras que para los que son usuarios de Arch Linux, Manjaro, Arco Linux o cualquier distribución derivada de Arch Linux, debemos de teclear:
sudo pacman -S vlc
Si eres usuario de la distribución de Linux KaOS, el comando de instalación es igual que de Arch Linux.
Ahora para los que son usuarios de cualquier versión de openSUSE, solamente deben de teclear en la terminal lo siguiente para instalar:
sudo zypper install vlc
Para los que son usuarios de Fedora y cualquier derivado de esta, deben de teclear lo siguiente:
sudo dnf install https://download1.rpmfusion.org/free/fedora/rpmfusion-free-release-$(rpm -E %fedora).noarch.rpm sudo dnf install vlc
Para el resto de las distribuciones de Linux, podemos instalar este software con ayuda de los paquetes de Flatpak o Snap. Solamente debemos de tener el soporte para instalar aplicaciones de estas tecnologías.
Si quieren instalar con ayuda de Snap, solamente debemos de teclear en la terminal el siguiente comando:
sudo snap install vlc
Para instalar la versión de candidata del programa lo hacen con:
sudo snap install vlc --candidate
Finalmente, si quieren instalar la versión beta del programa deben de teclear:
sudo snap install vlc --beta
Si instalaron la aplicación desde Snap y quieren actualizar a la nueva versión solo deben de teclear:
sudo snap refresh vlc
Finalmente para quienes quieran instalar desde Flatpak, lo hacen con el siguiente comando:
flatpak install --user https://flathub.org/repo/appstream/org.videolan.VLC.flatpakref
Y si ya habían instalado y quieren actualizar deben de teclear:
flatpak --user update org.videolan.VLC