VideoLan, Windows, Mac ve Linux için VLC Media Player 3.0.11’i piyasaya sürdü. Hata düzeltmelerine ve geliştirmelere ek olarak, bu sürüm saldırganların uzaktan komut yürütmesine veya savunmasız bir bilgisayarda VLC’yi çökmesine izin verebilecek bir güvenlik açığını da giderir.
Bu güvenlik açığı CVE-2020-13428 olarak izlenir ve doğru şekilde kullanılması durumunda saldırganların kullanıcı ile aynı güvenlik düzeyi altında komut yürütmesine olanak tanıyan bir VLC’nin H26X paketleyicisinde arabellek taşmasıdır.
VideoLan’ın güvenlik bültenine göre , bu güvenlik açığından özel olarak hazırlanmış bir dosya oluşturup bir kullanıcıyı VLC ile açması için kandırmak suretiyle yararlanılabilir.
VideoLan, bu güvenlik açığının büyük olasılıkla oynatıcıyı kilitleyeceğini belirtirken, saldırgan tarafından kullanıcının güvenlik düzeyi altındaki komutları uzaktan çalıştırmak için kullanılabileceği konusunda uyarılarda bulundu.
Kötü niyetli biri saldırıda başarılı olursa, , VLC’nin çökmesini veya hedef kullanıcının ayrıcalıklarına sahip bir kodun yürütülmesini tetikleyebilir.
Bu sorunlar büyük olasılıkla oynatıcının çökmesine neden olsa da, kullanıcı bilgilerini sızdırmak veya uzaktan kod çalıştırmak için kullanılabileceğini düşünebiliriz. ASLR ve DEP, kod yürütme olasılığını azaltmaya yardımcı olur, ancak atlanabilir. Bu güvenlik açığıyla kod yürütme gerçekleştiren istismarlar bu güne kadar görmedik.
Bu güvenlik açığının ciddiyeti ve sorunlu kodun genel olarak duyurulması nedeniyle, tüm kullanıcıların 3.0.11 sürümünü indirip yüklemeleri önemle tavsiye edilir.