VLC Player lanza nueva versión para parchar 43 vulnerabilidades

El famoso reproductor multimedia VLC Player lanzó su versión 3.0.7 que aborda varias actualizaciones de seguridad. Esto incluye dos problemas de alta seguridad, 21 problemas de seguridad media y 20 problemas de baja seguridad.

Los dos problemas de alta seguridad son una escritura fuera de enlace y un desbordamiento de búfer. La escritura fuera de enlace reside en la biblioteca faad2, una dependencia de VLC y el desbordamiento de búfer de pila en el nuevo módulo RIST.

Los problemas de seguridad media son en su mayoría lecturas fuera de banda, desbordamientos del montón, problemas de seguridad NULL y problemas de seguridad de uso después de la liberación. Esos problemas no deberían ser explotables con ASLR, pero son importantes de todos modos, porque pueden bloquear VLC.

Los problemas de baja seguridad son en su mayoría desbordamiento de enteros, división por cero y otras lecturas fuera de banda sin impacto real. Estos problemas no son explotables.

El mayor número de vulnerabilidades corregidas cuando la Comisión Europea incluyó herramientas de código abierto con el proyecto de Auditoría de Software de Fuente Abierta (EU-FOSSA) para mejorar la seguridad del software libre.

La lista completa de los cambios puedes encontrarla acá