Доступен внеплановый корректирующий выпуск медиапроигрывателя VLC 3.0.20, в котором устранена потенциальная уязвимость (CVE не присвоен), приводящая к записи данных в область за границей буфера при разборе некорректно оформленных сетевых пакетов в обработчике потоков MMSH (Microsoft Media Server over HTTP). Уязвимость теоретически может быть эксплуатирована при попытке загрузки контента с вредоносных серверов, используя URL “mms://”.
Из не связанных с безопасностью изменений в VLC 3.0.20 выделяется:
- Устранение аварийного завершения работы на системах с некоторыми версиями драйверов для GPU AMD,
- Крах при неудачной попытке использования аппаратного декдировщика AV1,
- Появление зелёной полосы при полноэкранном воспроизведении через D3D11 в Windows,
- Сбои при обработке двойного щелчка колесом мыши,
- Пропадание панели инструментов в полноэкранном режиме в Windows.
Release.
Ссылка here.