korrigierende Veröffentlichung des Media Players , in dem sich die angesammelten und beseitigt , darunter drei Probleme (CVE-2019-14970, CVE-2019-14777, CVE-2019-14533) zur Ausführung eines Angreifercodes beim Versuch, speziell entwickelte Multimediadateien in den Formaten MKV und ASF abzuspielen (Schreibpufferüberlauf und zwei Probleme beim Zugriff auf den Speicher nach der Freigabe).
Vier Schwachstellen in den OGG-, AV1-, FAAD- und ASF-Format-Handlern werden durch die Fähigkeit verursacht, Daten aus Speicherbereichen außerhalb des zugewiesenen Puffers zu lesen. Drei Probleme führen zu NULL-Zeiger-Dereferenzierungen in dvdnav-, ASF- und AVI-Format-Entpackern. Eine Schwachstelle ermöglicht einen Integer-Überlauf im MP4-Dekompressor.
Problem mit dem OGG-Format-Entpacker (CVE-2019-14438) von VLC-Entwicklern als Lesen aus einem Bereich außerhalb des Puffers erkannt (Lesepufferüberlauf), Sicherheitsforscher haben die Schwachstelle jedoch identifiziert , was zu einem Schreibüberlauf und zur Codeausführung führen kann, wenn OGG-, OGM- und OPUS-Dateien mit einem speziell entwickelten Header-Block verarbeitet werden.
Es gibt auch eine Schwachstelle (CVE-2019-14533) im ASF-Format-Entpacker, die es Ihnen ermöglicht, Daten in einen bereits freigegebenen Speicherbereich zu schreiben und eine Codeausführung zu erreichen, wenn Sie während der WMV-Wiedergabe einen Vorwärts- oder Rückwärtslaufvorgang auf der Timeline durchführen WMA-Dateien. Darüber hinaus wird den Problemen CVE-2019-13602 (Ganzzahlüberlauf) und CVE-2019-13962 (Lesen aus einem Bereich außerhalb des Puffers) eine kritische Gefahrenstufe (8.8 und 9.8) zugeordnet, mit der die VLC-Entwickler jedoch nicht einverstanden sind halten diese Schwachstellen für nicht gefährlich (sie schlagen vor, die Stufe auf 4.3 zu ändern).
Zu den nicht sicherheitsrelevanten Korrekturen gehören die Behebung von Stottern beim Ansehen von Videos mit niedrigen Bildraten, die Verbesserung der Unterstützung für adaptives Streaming (verbesserter Puffercode), die Lösung von Problemen beim Rendern von WebVTT-Untertiteln, die Verbesserung der Audioausgabe auf macOS- und iOS-Plattformen sowie die Aktualisierung des Skripts zum Herunterladen von YouTube. Behebung von Problemen bei der Aktivierung von Direct3D11 zur Anwendung der Hardwarebeschleunigung auf Systemen mit einigen AMD-Treibern.
Source: opennet.ru