VideoLan上周发布了适用于Windows,Mac和Linux的VLC Media Player 3.0.12,并进行了许多改进,功能和安全修复。
该版本对Mac用户而言是重大升级,因为它提供了对Apple Silicon的本地支持并修复了macOS中的音频失真。
除了漏洞修复和改进之外,此版本还修复了绿盟科技安全团队的Zhen Zhou报告的众多安全漏洞。
这些缓冲区溢出或无效的取消引用漏洞“可能触发VLC崩溃或使用目标用户的特权执行任意代码。”
根据VideoLan的 安全公告,远程用户可以通过创建特制的媒体文件并诱使用户使用VLC打开它们来利用此漏洞。
尽管VideoLan指出此漏洞可能会使VLC Media Player崩溃,但他们警告攻击者可能会利用它泄漏信息或在设备上远程执行命令。
如果成功,则恶意第三方可能利用目标用户的特权触发VLC崩溃或套利代码执行。
尽管这些问题本身很可能会使播放器崩溃,但我们不能排除将它们组合在一起以泄露用户信息或远程执行代码的可能性。ASLR和DEP有助于减少代码执行的可能性,但可能会被绕过。
VideoLan表示,他们还没有看到在野外滥用这些漏洞的攻击程序。
由于此漏洞的严重性,并且要受益于VLC 3.0.12的改进,强烈建议所有用户 下载并安装版本3.0.12。
您可以在下面阅读版本3.0.12的完整变更日志:
Access:
* Add new RIST access module compliant with simple profile (VSF_TR-06-1)
Access Output:
* Add new RIST access output module compliant with simple profile (VSF_TR-06-1)
Demux:
* Fixed adaptive's handling of resolution settings
* Improve Bluray tracks support
* Improve WMV seeking and DASH support
* Fix crashes in AVI, MKV modules
Audio output:
* Fix audio distortion on macOS during start of playback
Video Output:
* Direct3D11: Fix some potential crashes when using video filters
macOS:
* Add native support for Apple Silicon / ARM-64
* Visual UI adaptations for macOS Big Sur
* Fix displaying EQ bands in the UI depending on which frequency
presets are set for the EQ in advanced preferences
* Fix UI issues in bookmarks window
Misc:
* Several fixes in the web interface, including privacy and security
improvements
* Update YouTube and Vocaroo scripts
* Fix rotation filter mouse handling
* Update translations
