ProHoster > Blog > internet nuus > VLC 3.0.8 mediaspeler-opdatering met kwesbaarhede opgelos

VLC 3.0.8 mediaspeler-opdatering met kwesbaarhede opgelos

Bekendgestel korrektiewe mediaspeler vrystelling VLC 3.0.8, waarin die opgehoopte Foute en uitgeskakel 13 kwesbaarhede, insluitend drie probleme (CVE-2019-14970, CVE-2019-14777, CVE-2019-14533) mag tot gevolg hê tot uitvoering van 'n aanvaller se kode wanneer jy probeer om spesiaal ontwerpte multimedialêers in MKV- en ASF-formate te speel (skryf buffer-oorloop en twee probleme met toegang tot geheue nadat dit vrygestel is).

Vier kwesbaarhede in die OGG-, AV1-, FAAD-, ASF-formaathanteerders word veroorsaak deur die vermoë om data van geheueareas buite die toegewese buffer te lees. Drie probleme lei tot NULL-wyserverwysings in dvdnav-, ASF- en AVI-formaat-uitpakkers. Een kwesbaarheid maak voorsiening vir 'n heelgetal-oorloop in die MP4-dekomprimerer.

Probleem met OGG-formaat uitpak (CVE-2019-14438) gemerk deur VLC-ontwikkelaars as lees vanaf 'n area buite die buffer (lees buffer oorloop), maar sekuriteitsnavorsers het die kwesbaarheid geïdentifiseer eis, wat skryfoorloop kan veroorsaak en kode-uitvoering kan veroorsaak wanneer OGG-, OGM- en OPUS-lêers met 'n spesiaal ontwerpte kopblok verwerk word.

Daar is ook 'n kwesbaarheid (CVE-2019-14533) in die ASF-formaat uitpak, wat jou toelaat om data na 'n reeds vrygestelde geheue area te skryf en kode-uitvoering te bewerkstellig wanneer 'n blaai vorentoe of agtertoe op die tydlyn uitgevoer word tydens die afspeel van WMV en WMA lêers. Daarbenewens word die probleme CVE-2019-13602 (heelgetal oorloop) en CVE-2019-13962 (lees van 'n area buite die buffer) 'n kritieke vlak van gevaar (8.8 en 9.8) toegeken, maar die VLC-ontwikkelaars stem nie saam nie en beskou hierdie kwesbaarhede as nie gevaarlik nie (hulle stel voor dat die vlak na 4.3 verander word).

Nie-sekuriteitsoplossings sluit in die regstelling van hakkel wanneer na video's teen lae raamtempo's gekyk word, die verbetering van ondersteuning vir aanpasbare stroming (verbeterde bufferkode), die oplossing van probleme met die lewering van WebVTT-onderskrifte, die verbetering van oudio-uitvoer op macOS- en iOS-platforms, die opdatering van die skrif vir aflaai vanaf Youtube, Los probleme op om Direct3D11 in staat te stel om hardewareversnelling toe te pas op stelsels met sommige AMD-bestuurders.

Bron: opennet.ru

Voeg 'n opmerking