انتشار اصلاحی پخش کننده رسانه ، که در آن انباشته شده است و حذف شد ، شامل سه مشکل (CVE-2019-14970، CVE-2019-14777، CVE-2019-14533) برای اجرای کد مهاجم هنگام تلاش برای پخش فایلهای چندرسانهای خاص با فرمتهای MKV و ASF (نوشتن سرریز بافر و دو مشکل در دسترسی به حافظه پس از آزاد شدن).
چهار آسیبپذیری در کنترلکنندههای فرمت OGG، AV1، FAAD، ASF ناشی از توانایی خواندن دادهها از مناطق حافظه خارج از بافر اختصاصیافته است. سه مشکل منجر به عدم ارجاع نشانگر NULL در بازکنندههای فرمت dvdnav، ASF و AVI میشود. یک آسیب پذیری امکان سرریز اعداد صحیح را در کمپرسور MP4 فراهم می کند.
مشکل با بازکننده فرمت OGG (CVE-2019-14438) توسط توسعه دهندگان VLC به عنوان خواندن از یک منطقه خارج از بافر (خواندن سرریز بافر)، اما محققان امنیتی این آسیب پذیری را شناسایی کردند. ، که می تواند باعث سرریز نوشتن و اجرای کد در هنگام پردازش فایل های OGG، OGM و OPUS با بلوک هدر مخصوص طراحی شده شود.
همچنین یک آسیبپذیری (CVE-2019-14533) در بستهبندی فرمت ASF وجود دارد که به شما امکان میدهد دادهها را در یک منطقه حافظه از قبل آزاد شده بنویسید و هنگام انجام عملیات اسکرول به جلو یا عقب بر روی خط زمانی در حین پخش WMV و اجرای کد، به اجرای کد برسید. فایل های WMA علاوه بر این، مشکلات CVE-2019-13602 (سرریز عدد صحیح) و CVE-2019-13962 (خواندن از ناحیه ای خارج از بافر) به سطح بحرانی خطر (8.8 و 9.8) اختصاص داده شده است، اما توسعه دهندگان VLC موافق نیستند و این آسیبپذیریها را خطرناک نمیدانند (آنها تغییر سطح را به 4.3 پیشنهاد میکنند).
رفع مشکلات غیرامنیتی شامل رفع لکنت هنگام تماشای ویدیو با نرخ فریم پایین، بهبود پشتیبانی از جریان تطبیقی (کد بافر بهبودیافته)، حل مشکلات ارائه زیرنویس WebVTT، بهبود خروجی صدا در سیستم عاملهای macOS و iOS، بهروزرسانی اسکریپت برای دانلود از یوتیوب، حل مشکلات مربوط به فعال کردن Direct3D11 برای اعمال شتاب سخت افزاری در سیستم هایی با برخی از درایورهای AMD.
منبع: opennet.ru