Представлен выпуск медиаплеера VLC 3.0.12, в котором устранено несколько уязвимостей, которые потенциально могут привести к выполнению кода при попытке воспроизведения специально оформленных мультимедийных файлов. В списке изменений также отмечено проведение работы по повышению защищённости web-интерфейса.
Из не связанных с безопасностью улучшений:
- Добавлены новые модули вывода и доступа с поддержкой протокола RIST (Reliable Internet Stream Transport), описанного в спецификации VSF_TR-06-1.
- В распаковщике медиаконтейнеров (demuxer) улучшена поддержка треков
Bluray, формата DASH и перемещения между потоками при обработке контейнеров WMV. Устранены крахи в модулях AVI и MKV. - Интерфейс в сборках для macOS адаптирован для выпуска macOS Big Sur.
- Добавлена поддержка новых устройств Apple с чипом M1. В следом опубликованном обновлении VLC 3.0.12.1 данная поддержка была улучшена.
- Обновлены скрипты для обращения к сервисам YouTube и Vocaroo.
Дополнительно можно отметить уязвимость (CVE-2021-3185) в реализации модуля h264parse, развиваемого проектом GStreamer (входит в набор gstreamer-plugins-bad). Проблема вызвана переполнением буфера в функции gst_h264_slice_parse_dec_ref_pic_marking и позволяет организовать выполнение своего кода при обработке в Gstreamer специально оформленных данных в формате H.264. Уязвимость устранена в обновлениях gstreamer 1.18.1 и 1.16.3. Выявившие уязвимость исследователи утверждают, что им удалось подготовить прототип эксплоита для организации атаки на системы с уязвимыми выпусками GStreamer, но, отмечается, что в современных Linux-дистрибутивах эксплуатировать проблему будет значительно труднее из-за применения дополнительной защиты, такой как канареечные метки и рандомизация адресов.