VLC media player включает в себя компонент для декодирования файлов относительно редко используемого формата CDG. Как раз в этом компоненте и были обнаружены две критические ошибки, которые могли приводить к повреждению т.н. кучи (heap), что в дальнейшем позволяло злоумышленнику передавать на исполнение произвольный код.
Атака может быть проведена путем запуска жертвой специально подготовленного файла в формате CDG.
Уязвимости уже исправлены в исходном коде в официальном репозитории, но все еще не исправлены в бинарных сборках. Повержены все версии до 1.1.5 включительно.
Заплатка для VCL версии 1.1.5 доступна из репозитория Git.
И что это делает на главной? Чем эти новость так примечательна?
По-моему, вполне годная новость. Нужна она еще и для того, чтобы сторонники проприетарного ПО не обвиняли сайт в предвзятости. Да, ошибки есть в любом ПО, но в свободном их, как правило, быстро исправляют, а не ждут годами, как в одной компании (не буду показывать пальцем).
Любая свежая новость попадает на главную. Для популярного есть специальная страница. Поищите в верхнем меню.
В генту уже обновился. Еще одна прекрасная сторона этого дистрибутива.
Отправить комментарий