ProHoster > Блог > интернет мэдээ > VLC 3.0.8 медиа тоглуулагчийн шинэчлэлт нь эмзэг байдлыг зассан

VLC 3.0.8 медиа тоглуулагчийн шинэчлэлт нь эмзэг байдлыг зассан

Оруулсан залруулах медиа тоглуулагч хувилбар VLC 3.0.8, үүнд хуримтлагдсан алдаа мөн устгасан 13 эмзэг байдал, үүнд гурван асуудал (CVE-2019-14970, CVE-2019-14777, CVE-2019-14533) хүргэж болно MKV болон ASF форматаар тусгайлан боловсруулсан мультимедиа файлуудыг тоглуулахыг оролдох үед халдагчийн кодыг ажиллуулах (буферийн хэт ачаалал, түүнийг сулласны дараа санах ойд хандах хоёр асуудал).

OGG, AV1, FAAD, ASF форматын зохицуулагчийн дөрвөн эмзэг байдал нь хуваарилагдсан буферээс гадуур санах ойн хэсгүүдээс өгөгдлийг унших чадвараас үүдэлтэй. Гурван асуудал нь dvdnav, ASF болон AVI форматын задлагч дээр NULL заагчийг задлахад хүргэдэг. Нэг эмзэг байдал нь MP4 задлагч дотор бүхэл тоо хэт их гарах боломжийг олгодог.

OGG форматын задлагчтай холбоотой асуудал (CVE-2019-14438) тэмдэглэгдсэн VLC хөгжүүлэгчдийн зүгээс буферийн гаднах хэсгээс уншиж байгаа (буферийн хэт их урсгалыг унших) боловч аюулгүй байдлын судлаачид эмзэг байдлыг илрүүлсэн. нэхэмжлэл, энэ нь OGG, OGM болон OPUS файлуудыг тусгайлан зохион бүтээсэн толгой блокоор боловсруулах үед бичих халилтыг үүсгэж, кодыг гүйцэтгэхэд хүргэдэг.

Мөн ASF форматын задлагчийн сул тал (CVE-2019-14533) байдаг бөгөөд энэ нь WMV болон дахин тоглуулах явцад цагийн хэлхээс дээр урагш эсвэл хойш гүйлгэх үйлдлийг гүйцэтгэх үед аль хэдийн суллагдсан санах ойн хэсэгт өгөгдөл бичих, кодыг гүйцэтгэх боломжийг олгодог. WMA файлууд. Нэмж дурдахад, CVE-2019-13602 (бүхэл тоон халих) ба CVE-2019-13962 (буферийн гаднах хэсгээс унших) асуудлуудад аюулын эгзэгтэй түвшинд (8.8 ба 9.8) оноогдсон боловч VLC хөгжүүлэгчид зөвшөөрөөгүй бөгөөд эдгээр эмзэг байдлыг аюултай биш гэж үзэх (тэдгээр түвшинг 4.3 болгон өөрчлөхийг санал болгож байна).

Хамгаалалтын бус засварууд нь бага фрэймийн хурдаар видео үзэх үед гацах асуудлыг засах, дасан зохицох урсгалын дэмжлэгийг сайжруулах (сайжруулсан буфер код), WebVTT хадмал орчуулгатай холбоотой асуудлыг шийдвэрлэх, macOS болон iOS платформ дээрх аудио гаралтыг сайжруулах, Youtube-ээс татаж авах скриптийг шинэчлэх, Direct3D11-ийг зарим AMD драйвертай систем дээр техник хангамжийн хурдатгалыг ашиглахыг идэвхжүүлэхтэй холбоотой асуудлыг шийдэж байна.

Эх сурвалж: opennet.ru

сэтгэгдэл нэмэх