multimedia-erreproduzigailuaren oharra zuzentzailea , zeinetan metatua eta ezabatu , hiru arazo barne (CVE-2019-14970, CVE-2019-14777, CVE-2019-14533) MKV eta ASF formatuetan bereziki diseinatutako multimedia fitxategiak erreproduzitzen saiatzean erasotzaile baten kodea exekutatzeko (idazketa-buffer gainezkatzea eta memoria atzitzeko bi arazo askatu ondoren).
OGG, AV1, FAAD, ASF formatuen kudeatzaileen lau ahultasun esleitutako bufferetik kanpoko memoria-eremuetako datuak irakurtzeko gaitasunak eragiten ditu. Hiru arazok NULL erakusleen deserreferentziak eragiten dituzte dvdnav, ASF eta AVI formatuko deskonpaktatzaileetan. Ahultasun batek MP4 deskonpresorean osoko gainezka egitea ahalbidetzen du.
Arazoa OGG formatuaren deskonpaktuarekin (CVE-2019-14438) VLC garatzaileek bufferetik kanpoko eremu batetik irakurtzen dutela (irakur ezazu buffer gainezka), baina segurtasun ikertzaileek ahultasuna identifikatu zuten. , idazketa gainezkatzea eragin dezake eta kodea exekutatzen eragin dezake OGG, OGM eta OPUS fitxategiak bereziki diseinatutako goiburu-bloke batekin prozesatzen direnean.
ASF formatuko deskonpaktatzailean ere ahultasun bat dago (CVE-2019-14533), eta horri esker, dagoeneko libre dagoen memoria-eremuan datuak idazteko eta kodea exekutatzeko aukera ematen du denbora-lerroan aurrera edo atzera eragiketa bat egitean WMV eta erreproduzitzerakoan. WMA fitxategiak. Horrez gain, CVE-2019-13602 (osoko gainezkatzea) eta CVE-2019-13962 (bufferetik kanpoko eremu batetik irakurtzea) arazoei arrisku maila kritikoa esleitzen zaie (8.8 eta 9.8), baina VLC garatzaileak ez daude ados eta ahultasun horiek ez direla arriskutsutzat jotzen (maila 4.3ra aldatzea proposatzen dute).
Segurtasunik gabeko konponketak honako hauek dira: bideoak fotograma-tasa baxuan ikustean toteltasuna konpontzea, streaming moldagarrirako laguntza hobetzea (buffering-kode hobetua), WebVTT azpitituluak errendatzeko arazoak konpontzea, macOS eta iOS plataformetan audio-irteera hobetzea, Youtubetik deskargatzeko script-a eguneratzea , Direct3D11 AMD kontrolatzaile batzuk dituzten sistemetan hardware azelerazioa aplikatzeko gaitzeari buruzko arazoak konpontzea.
Iturria: opennet.ru