түзетуші медиа ойнатқыштың шығарылымы , онда жинақталған және жойылды , оның ішінде үш мәселе (CVE-2019-14970, CVE-2019-14777, CVE-2019-14533) MKV және ASF пішіміндегі арнайы әзірленген мультимедиялық файлдарды ойнату әрекеті кезінде шабуылдаушы кодының орындалуына (буфердің толып кетуін жазу және оны босатқаннан кейін жадқа қол жеткізудегі екі мәселе).
OGG, AV1, FAAD, ASF пішім өңдегіштеріндегі төрт осалдық бөлінген буферден тыс жад аумақтарынан деректерді оқу мүмкіндігінен туындайды. Үш мәселе dvdnav, ASF және AVI пішімдерін ашушыларда NULL көрсеткіш сілтемелеріне әкеледі. Бір осалдық MP4 декомпрессорында бүтін санның асып кетуіне мүмкіндік береді.
OGG пішімін ашу құралына қатысты мәселе (CVE-2019-14438) VLC әзірлеушілері буферден тыс аумақтан оқу ретінде (буфердің толып кетуін оқу), бірақ қауіпсіздік зерттеушілері осалдықты анықтады , ол арнайы әзірленген тақырып блогы бар OGG, OGM және OPUS файлдарын өңдеу кезінде жазудың толып кетуіне және кодтың орындалуына әкелуі мүмкін.
Сондай-ақ ASF пішімінің бумасынан ашушыда осалдық (CVE-2019-14533) бар, ол қазірдің өзінде босатылған жад аймағына деректерді жазуға және WMV ойнату кезінде уақыт шкаласында алға немесе артқа айналдыру әрекетін орындау кезінде кодтың орындалуына қол жеткізуге және WMA файлдары. Сонымен қатар, CVE-2019-13602 (бүтін толып кету) және CVE-2019-13962 (буферден тыс аумақтан оқу) мәселелеріне қауіптіліктің критикалық деңгейі (8.8 және 9.8) тағайындалған, бірақ VLC әзірлеушілері келіспейді және бұл осалдықтарды қауіпті емес деп санаңыз (олар деңгейді 4.3-ке өзгертуді ұсынады).
Қауіпсіздікке жатпайтын түзетулерге бейнелерді төмен кадр жиілігінде қарау кезінде кекіруді түзету, бейімделген ағынды қолдауды жақсарту (жақсартылған буферлеу коды), WebVTT субтитрлерін көрсету мәселелерін шешу, macOS және iOS платформаларында аудио шығысын жақсарту, Youtube сайтынан жүктеп алу үшін сценарийді жаңарту , Кейбір AMD драйверлері бар жүйелерде аппараттық жеделдетуді қолдану үшін Direct3D11 мүмкіндігін қосу мәселелерін шешу.
Ақпарат көзі: opennet.ru