korjaava mediasoittimen julkaisu , johon kertynyt ja eliminoitu , mukaan lukien kolme ongelmaa (CVE-2019-14970, CVE-2019-14777, CVE-2019-14533) hyökkääjän koodin suorittamiseen yrittäessään toistaa erityisesti suunniteltuja multimediatiedostoja MKV- ja ASF-muodoissa (kirjoituspuskurin ylivuoto ja kaksi ongelmaa muistin käytössä sen vapauttamisen jälkeen).
Neljä OGG-, AV1-, FAAD- ja ASF-muotokäsittelijöiden haavoittuvuutta johtuu kyvystä lukea tietoja varatun puskurin ulkopuolelta olevilta muistialueilta. Kolme ongelmaa johtavat NULL-osoittimen viittauksiin dvdnav-, ASF- ja AVI-muodon purkuohjelmissa. Yksi haavoittuvuus mahdollistaa kokonaislukujen ylivuodon MP4-purkuohjelmassa.
Ongelma OGG-muodon purkajassa (CVE-2019-14438) VLC-kehittäjät lukevat puskurin ulkopuolelta (lukupuskurin ylivuoto), mutta tietoturvatutkijat tunnistivat haavoittuvuuden , joka voi aiheuttaa kirjoitusylivuodon ja koodin suorittamisen, kun käsitellään OGG-, OGM- ja OPUS-tiedostoja erityisesti suunnitellulla otsikkolohkolla.
ASF-muodon purkajassa on myös haavoittuvuus (CVE-2019-14533), jonka avulla voit kirjoittaa tietoja jo vapautetulle muistialueelle ja saavuttaa koodin suorittamisen, kun vierität eteenpäin tai taaksepäin aikajanalla WMV:n ja toiston aikana. WMA-tiedostoja. Lisäksi ongelmille CVE-2019-13602 (kokonaislukujen ylivuoto) ja CVE-2019-13962 (luku puskurin ulkopuolelta) on määritetty kriittinen vaarataso (8.8 ja 9.8), mutta VLC:n kehittäjät eivät ole samaa mieltä ja eivät pidä näitä haavoittuvuuksia vaarallisina (he ehdottavat tason muuttamista tasolle 4.3).
Muihin kuin tietoturvakorjauksiin kuuluvat pätkimisen korjaaminen katsottaessa videoita alhaisilla kuvanopeuksilla, mukautuvan suoratoiston tuen parantaminen (parempi puskurointikoodi), WebVTT-tekstitysten toistoon liittyvien ongelmien ratkaiseminen, äänentoiston parantaminen macOS- ja iOS-alustoilla, skriptin päivittäminen Youtubesta ladattavaksi, Ongelmien ratkaiseminen, jotka liittyvät siihen, että Direct3D11 voi käyttää laitteistokiihdytystä järjestelmissä, joissa on joitakin AMD-ajureita.
Lähde: opennet.ru