Canonical publica nuevas versiones de VLC y WebKitGTK+ para corregir varias vulnerabilidades
Si mi memoria no me falla, y parece que no lo hace por lo publicado en este tweet, VideoLan publicó VLC 3.0.8 hace algunas semanas. Hace unos minutos ha aparecido la actualización en Discover y, poco después, Canonical ha publicado un informe de seguridad que habla de un total de 11 vulnerabilidades corregidas en el reproductor multimedia más famoso del planeta. No son vulnerabilidades nuevas y VideoLan ya las tenía publicadas en su página web desde mediados de agosto.
El informe que recoge las vulnerabilidades corregidas en VLC 3.0.8 es el USN-4131-1, publicado hoy, y en el se detallan 10 vulnerabilidades de prioridad media y una de prioridad baja. El informe menciona que los sistemas afectados son Ubuntu 19.04 y Ubuntu 18.04 LTS, pero si entramos a los detalles de cualquiera de los 11 fallos veremos que Ubuntu 16.04 también necesita los parches. Esto significa que, probablemente, pronto publicarán el informe USN-4131-2 hablando de estos fallos en Xenial Xerus. Otras versiones, como Ubuntu 14.04 y 12.04, no pueden recibir la actualización por no disfrutar de soporte oficial.
11 en VLC y 16 vulnerabilidades en WebKitGTK+
Canonical no ha dado detalles de cada uno de los fallos corregidos en VLC y se ha limitado a decir que el reproductor gestionaba incorrectamente algunos archivos multimedia, lo que podía ser usado por un usuario malintencionado para bloquear el reproductor, resultando en denegación de servicio (DoS) y posiblemente ejecutar código arbitrario.
Por otra parte, también han publicado varios parches para corregir un total de 16 vulnerabilidades en WebKitGTK+, todas ellas de prioridad media. Como en el caso de los fallos de VLC, en el informe USN-4130-1 también se han limitado a dar una explicación general, diciendo que si nos engañaban para ver una página web maliciosa, un atacante remoto podría explotar varios problemas relacionados con la seguridad del navegador web, provocando ataques CSS, denegación del servicio o ejecutar código arbitrario.
Todos los parches están ya disponibles como actualización, por lo que aplicarlos es tan sencillo como abrir el centro de software e instalarlos. Para que los cambios surtan efecto, deberemos reiniciar el equipo.