Актуализация на мултимедиен плейър VLC 3.0.8 с коригирани уязвимости

Изпратено от коригиращо издание на медиен плейър VLC 3.0.8, в които натрупаните Грешки и елиминиран 13 уязвимости, включително три проблема (CVE-2019-14970, CVE-2019-14777, CVE-2019-14533) може да доведе до изпълнение на код на атакуващ при опит за възпроизвеждане на специално проектирани мултимедийни файлове във формати MKV и ASF (препълване на буфера за запис и два проблема с достъпа до паметта след освобождаването й).

Четири уязвимости в манипулаторите на формати OGG, AV1, FAAD, ASF са причинени от възможността за четене на данни от области на паметта извън разпределения буфер. Три проблема водят до дереференции на NULL указател в програми за разопаковане на dvdnav, ASF и AVI формат. Една уязвимост позволява целочислено препълване в MP4 декомпресора.

Проблем с програмата за разопаковане на OGG формат (CVE-2019-14438) маркиран от разработчиците на VLC като четене от област извън буфера (препълване на буфера за четене), но изследователите по сигурността идентифицираха уязвимостта иск, което може да причини препълване при запис и да причини изпълнение на код при обработка на OGG, OGM и OPUS файлове със специално проектиран заглавен блок.

Има и уязвимост (CVE-2019-14533) в инструмента за разопаковане на ASF формат, който ви позволява да записвате данни във вече освободена област от паметта и да постигнете изпълнение на код, когато извършвате операция за превъртане напред или назад на времевата линия по време на възпроизвеждане на WMV и WMA файлове. В допълнение, на проблемите CVE-2019-13602 (препълване на цели числа) и CVE-2019-13962 (четене от област извън буфера) е присвоено критично ниво на опасност (8.8 и 9.8), но разработчиците на VLC не са съгласни и считат тези уязвимости за опасни (те предлагат промяна на нивото на 4.3).

Корекциите, които не са свързани със сигурността, включват коригиране на заекването при гледане на видеоклипове с ниска честота на кадрите, подобряване на поддръжката за адаптивен стрийминг (подобрен код за буфериране), решаване на проблеми с изобразяването на WebVTT субтитри, подобряване на аудио изхода на macOS и iOS платформи, актуализиране на скрипта за изтегляне от Youtube, Разрешаване на проблеми с разрешаването на Direct3D11 да прилага хардуерно ускорение на системи с някои AMD драйвери.

Източник: opennet.ru