メディアプレーヤーの修正リリース 、蓄積された そして排除された 、2019 つの問題 (CVE-14970-2019、CVE-14777-2019、CVE-14533-XNUMX) を含む MKV および ASF 形式で特別に設計されたマルチメディア ファイルを再生しようとしたときに、攻撃者のコードが実行される可能性があります (書き込みバッファ オーバーフローとメモリ解放後のメモリへのアクセスに関する XNUMX つの問題)。
OGG、AV1、FAAD、ASF フォーマット ハンドラーの 4 つの脆弱性は、割り当てられたバッファーの外側のメモリ領域からデータを読み取る機能によって引き起こされます。 XNUMX つの問題により、dvdnav、ASF、および AVI 形式のアンパッカーで NULL ポインターの逆参照が発生します。 XNUMX つの脆弱性により、MPXNUMX デコンプレッサーで整数オーバーフローが発生します。
OGG 形式アンパッカーの問題 (CVE-2019-14438) VLC 開発者はバッファ外の領域からの読み取り (読み取りバッファ オーバーフロー) として認識していましたが、セキュリティ研究者はこの脆弱性を特定しました。 これにより、特別に設計されたヘッダー ブロックを持つ OGG、OGM、および OPUS ファイルを処理するときに書き込みオーバーフローが発生し、コードが実行される可能性があります。
また、ASF 形式のアンパッカーには脆弱性 (CVE-2019-14533) が存在し、WMV や WMV の再生中にタイムライン上で前方または後方へのスクロール操作を実行すると、すでに解放されたメモリ領域にデータを書き込み、コードが実行される可能性があります。 WMA ファイル。 さらに、問題 CVE-2019-13602 (整数オーバーフロー) および CVE-2019-13962 (バッファー外の領域からの読み取り) には重大な危険レベル (8.8 および 9.8) が割り当てられていますが、VLC 開発者はこれに同意しておらず、これらの脆弱性は危険ではないと考えてください (レベルを 4.3 に変更することを提案しています)。
セキュリティ以外の修正には、低フレーム レートでビデオを視聴する際の途切れの修正、アダプティブ ストリーミングのサポートの改善 (バッファリング コードの改善)、WebVTT 字幕のレンダリングに関する問題の解決、macOS および iOS プラットフォームでのオーディオ出力の改善、Youtube からダウンロードするためのスクリプトの更新が含まれます。一部の AMD ドライバーを備えたシステムでハードウェア アクセラレーションを適用するために Direct3D11 を有効にする際の問題を解決します。
出所: オープンネット.ru