ProHoster > Dienoraštis > interneto naujienos > VLC 3.0.8 medijos leistuvo atnaujinimas su ištaisytomis spraigomis

VLC 3.0.8 medijos leistuvo atnaujinimas su ištaisytomis spraigomis

Įvesta korekcinis medijos leistuvo išleidimas VLC 3.0.8, kuriame sukaupta Klaidos ir pašalintas 13 pažeidžiamumų, įskaitant tris problemas (CVE-2019-14970, CVE-2019-14777, CVE-2019-14533) gali vadovauti užpuoliko kodo vykdymui bandant paleisti specialiai sukurtus multimedijos failus MKV ir ASF formatais (rašymo buferio perpildymas ir dvi problemos, susijusios su prieiga prie atminties ją atlaisvinus).

Keturios OGG, AV1, FAAD, ASF formatų tvarkyklių pažeidžiamumas atsiranda dėl galimybės nuskaityti duomenis iš atminties sričių, esančių už skirto buferio ribų. Trys problemos lemia NULL rodyklės nuorodų panaikinimą DVD, ASF ir AVI formatų išpakavimo programose. Vienas pažeidžiamumas leidžia MP4 dekompresoriuje perpildyti sveikąjį skaičių.

Problema su OGG formato išpakavimo programa (CVE-2019-14438) pažymėti VLC kūrėjai nuskaito iš srities, esančios už buferio ribų (skaitymo buferio perpildymas), tačiau saugumo tyrinėtojai nustatė pažeidžiamumą pretenzija, kuris gali sukelti rašymo perpildymą ir kodo vykdymą apdorojant OGG, OGM ir OPUS failus su specialiai sukurtu antraštės bloku.

ASF formato išpakavimo priemonėje taip pat yra pažeidžiamumas (CVE-2019-14533), leidžiantis įrašyti duomenis į jau atlaisvintą atminties sritį ir pasiekti kodo vykdymą atliekant laiko juostos slinkimo pirmyn arba atgal operaciją atkuriant WMV ir WMA failai. Be to, problemoms CVE-2019-13602 (sveiko skaičiaus perpildymas) ir CVE-2019-13962 (skaitymas iš srities, esančios už buferio ribų) priskiriamas kritinis pavojaus lygis (8.8 ir 9.8), tačiau VLC kūrėjai nesutinka ir mano, kad šie pažeidžiamumai nėra pavojingi (jie siūlo pakeisti lygį į 4.3).

Su saugumu nesusijusios pataisos apima mikčiojimo pašalinimą žiūrint vaizdo įrašus mažu kadrų dažniu, adaptyvaus srautinio perdavimo patobulinimą (patobulintas buferio kodas), WebVTT subtitrų atvaizdavimo problemų sprendimą, garso išvesties gerinimą MacOS ir iOS platformose, scenarijaus, skirto atsisiuntimui iš Youtube, atnaujinimą, Išspręskite problemas, susijusias su „Direct3D11“ įgalinimu taikyti aparatinės įrangos pagreitį sistemose su kai kuriomis AMD tvarkyklėmis.

Šaltinis: opennet.ru

Добавить комментарий