Состоялся релиз VLC Media Player 3.0.11 для Windows, macOS и Linux. В новой версии был исправлен опасный баг, который связан с переполнением буфера в упаковщике H26X и возможностью выполнения произвольного кода в контексте текущего пользователя. Свежая версия рекомендуется к установке.
Уязвимость получила идентификатор CVE-2020-13428. На сайте плеера о ней сказано, что переполнение буфера в упаковщике H26X может сопровождаться аварийным завершением работы программы. Впрочем, это не опасно само по себе. Другой разговор, если злоумышленники создадут модифицированный файл, который жертва откроет через уязвимую версию VLC Media Player. В таком случае может быть выполнен произвольный код. Теоретически это может привести к похищению информации с компьютера жертвы. ASLR и DEP помогают снизить вероятность такой атаки, но, при желании, атакующие могут обойти эту защиту.
Таким образом, медлить со скачиванием и установкой свежей версии плеера явно не стоит. Делать это рекомендуется только с официальной страницы плеера на сайте разработчиков.
Статьи по теме: