Após a discussão sobre a descoberta de uma vulnerabilidade crítica no reprodutor de áudio e vídeo VLC Media Player, que permitiu a execução remota de código, e depois que a VideoLAN expressou sua discordância sobre o assunto, garantindo que o software não era vulnerável, a empresa responsável anunciou o lançamento da versão 3.0.8. Nesta nova atualização, a VideoLAN anuncia que, além de várias melhorias relacionadas às funcionalidades do programa, também foram solucionadas 13 vulnerabilidades de segurança.
VLC release 3.0.8 is out:
it is a minor release fixing small regressions, notably for VTT subtitles, and 13 security issues...https://t.co/k9nXnm8H59— VideoLAN (@videolan) August 19, 2019
As falhas corrigidas podem ser exploradas remotamente por um atacante, projetando um arquivo personalizado, desde que ele consiga enganar seu alvo de ataque para que abra o arquivo, explica a VideLAN. Por outro lado, a partir desta versão, a empresa também informa que irá começar a publicar boletins de segurança para lançamentos do VLC Media Player. Este primeiro boletim detalha todas as melhorias de segurança que foram resolvidas com a nova atualização.
Entre as vulnerabilidades, 11 foram relatadas pelo pesquisador de segurança Antonio Morales e, na opinião do pesquisador, a exploração de qualquer uma delas seria simples, disse o pesquisar ao portal Threatpost. De fato, se um atacante, por exemplo, projetou um arquivo de vídeo e o distribuiu pela Torrent usando como nome de arquivo uma famosa série de televisão para que sirva como “isca”, muitos usuários provavelmente o baixariam e a simples abertura do arquivo de vídeo ativaria a vulnerabilidade, destacou Morales ao portal. Este cenário é válido para todas as vulnerabilidades, acrescentou ele.
Todas as falhas corrigidas na última atualização ainda afetam a versão 3.0.7.1 do VLC Media Player, por isso é fundamental instalar a nova versão 3.0.8. Além disso, esta versão não foi enviada para os usuários, embora seja possível atualizar o software manualmente baixando a sua última versão desde o site oficial.