VideoLan发布了VLC Media Player 3.0.11版本，该版本现在可以用于Windows、Mac和Linux。 除了故障修复和改进，该版本还修复了一个安全漏洞，远程攻击者可利用该漏洞在脆弱的计算机上执行命令或造成VLC崩溃。

该漏洞编号为CVE-2020-13428，是个存在于VLC H26X打包器中的缓冲区溢出漏洞。攻击者可利用该漏洞以与用户相同的安全级别执行命令。

根据VideoLan的安全公告，攻击者可通过创建特殊构造的文件并诱使用户使用VLC打开该文件利用该漏洞发动攻击。

虽然VideoLan指出该漏洞最有可能造成该播放器崩溃，但他们警告称，远程攻击者可利用该漏洞以用户的安全级别执行命令。

“如成功利用该漏洞，恶意第三方可触发VLC崩溃或以目标用户的权限执行任意代码。

虽然这些漏洞最有可能仅造成播放器崩溃，我们不能排除，攻击者可以结合利用漏洞造成用户信息泄露或远程执行代码。ASLR和DEP可以帮助减少代码执行的可能性，但可能被绕过。

我们尚未发现通过这些漏洞执行代码的exploit。”

由于该漏洞的严重程度和问题代码遭到公开披露，强烈建议所有用户下载并安装3.0.11版本。

本文源自Bleeping Computer；转载请注明出处。