ProHoster > Օրագիր > ինտերնետ նորություններ > VLC 3.0.8 մեդիա նվագարկչի թարմացում՝ շտկված խոցելիությամբ

VLC 3.0.8 մեդիա նվագարկչի թարմացում՝ շտկված խոցելիությամբ

Ներկայացվել է ուղղիչ մեդիա նվագարկչի թողարկում VLC 3.0.8, որում կուտակված սխալներ և վերացվել 13 խոցելիություն, ներառյալ երեք խնդիր (CVE-2019-14970, CVE-2019-14777, CVE-2019-14533) կարող է հանգեցնել հարձակվողի կոդի կատարումը, երբ փորձում են հատուկ նախագծված մուլտիմեդիա ֆայլեր նվագարկել MKV և ASF ձևաչափերով (գրել բուֆերային արտահոսք և հիշողության ազատումից հետո երկու խնդիր):

OGG, AV1, FAAD, ASF ֆորմատի մշակիչներում չորս խոցելիություն առաջանում է հատկացված բուֆերից դուրս գտնվող հիշողության տարածքներից տվյալները կարդալու ունակությամբ: Երեք խնդիր հանգեցնում է NULL ցուցիչի մատնանշումների dvdnav, ASF և AVI ձևաչափերի ապափաթեթավորման սարքերում: Մեկ խոցելիությունը թույլ է տալիս ամբողջ թվի արտահոսք MP4 ապակոմպրեսորում:

Խնդիր OGG ձևաչափի ապափաթեթավորման հետ (CVE-2019-14438) նշված VLC ծրագրավորողների կողմից որպես ընթերցում բուֆերից դուրս գտնվող տարածքից (կարդալ բուֆերային հոսք), սակայն անվտանգության հետազոտողները հայտնաբերել են խոցելիությունը պահանջով, որը կարող է առաջացնել գրի արտահոսք և առաջացնել կոդի կատարում OGG, OGM և OPUS ֆայլերը հատուկ մշակված վերնագրի բլոկով մշակելիս:

Կա նաև խոցելիություն (CVE-2019-14533) ASF ձևաչափի ապափաթեթավորման մեջ, որը թույլ է տալիս գրել տվյալներ արդեն ազատված հիշողության տարածքում և հասնել կոդի կատարման՝ WMV-ի նվագարկման ժամանակ ժամանակացույցի վրա ոլորման առաջ կամ հետընթաց գործողություն կատարելիս: WMA ֆայլեր. Բացի այդ, CVE-2019-13602 (ամբողջ թվերի արտահոսք) և CVE-2019-13962 (ընթերցում է բուֆերից դուրս գտնվող տարածքից) խնդիրներին վերագրվում է վտանգի կրիտիկական մակարդակ (8.8 և 9.8), սակայն VLC մշակողները համաձայն չեն և այս խոցելիությունները համարել ոչ վտանգավոր (նրանք առաջարկում են մակարդակը փոխել մինչև 4.3):

Անվտանգության հետ կապված ոչ ուղղումները ներառում են ցածր կադրերի հաճախականությամբ տեսանյութերի կակազումների ուղղումներ, բարելավված ադապտիվ հոսքային աջակցություն (բարելավված բուֆերային կոդ), WebVTT ենթագրերի արտապատկերման հետ կապված խնդիրների լուծում և հարթակներում ձայնի ելքի բարելավում։ macOS և iOS, YouTube-ից ներբեռնման համար սկրիպտի թարմացում, Direct3D11-ի օգտագործման հետ կապված խնդիրների լուծում՝ որոշ AMD դրայվերներով համակարգերում ապարատային արագացում կիրառելու համար։

Source: opennet.ru

Գնեք հուսալի հոստինգ DDoS պաշտպանությամբ կայքերի, VPS VDS սերվերների համար 🔥 Գնեք հուսալի կայքերի հոսթինգ՝ DDoS պաշտպանությամբ, VPS VDS սերվերներով | ProHoster