ProHoster > Blog > berita internet > Kemas kini pemain media VLC 3.0.8 dengan kelemahan diperbaiki

Kemas kini pemain media VLC 3.0.8 dengan kelemahan diperbaiki

Dikemukakan oleh keluaran pembetulan pemain media VLC 3.0.8, di mana terkumpul Kesilapan dan dihapuskan 13 kelemahan, termasuk tiga masalah (CVE-2019-14970, CVE-2019-14777, CVE-2019-14533) boleh memimpin untuk melaksanakan kod penyerang apabila cuba memainkan fail multimedia yang direka khas dalam format MKV dan ASF (tulis limpahan penimbal dan dua masalah dengan mengakses memori selepas ia dibebaskan).

Empat kelemahan dalam pengendali format OGG, AV1, FAAD, ASF disebabkan oleh keupayaan untuk membaca data dari kawasan memori di luar penimbal yang diperuntukkan. Tiga masalah membawa kepada penyahrujukan penunjuk NULL dalam pembongkar format dvdnav, ASF dan AVI. Satu kelemahan membolehkan limpahan integer dalam penyahmampat MP4.

Masalah dengan pembongkar format OGG (CVE-2019-14438) bertanda oleh pembangun VLC sebagai membaca dari kawasan di luar penimbal (baca limpahan penimbal), tetapi penyelidik keselamatan mengenal pasti kelemahan tuntutan, yang boleh menyebabkan limpahan tulis dan menyebabkan pelaksanaan kod apabila memproses fail OGG, OGM dan OPUS dengan blok pengepala yang direka khas.

Terdapat juga kelemahan (CVE-2019-14533) dalam pembongkar format ASF, yang membolehkan anda menulis data ke kawasan memori yang telah dibebaskan dan mencapai pelaksanaan kod apabila melakukan operasi tatal ke hadapan atau ke belakang pada garis masa semasa main balik WMV dan fail WMA. Di samping itu, masalah CVE-2019-13602 (limpahan integer) dan CVE-2019-13962 (membaca dari kawasan di luar penimbal) diberikan tahap bahaya kritikal (8.8 dan 9.8), tetapi pembangun VLC tidak bersetuju dan menganggap kelemahan ini tidak berbahaya (mereka mencadangkan untuk menukar tahap kepada 4.3).

Pembetulan bukan keselamatan termasuk membetulkan kegagapan apabila menonton video pada kadar bingkai rendah, meningkatkan sokongan untuk penstriman adaptif (kod penimbalan yang dipertingkatkan), menyelesaikan masalah dengan pemaparan sari kata WebVTT, menambah baik output audio pada platform macOS dan iOS, mengemas kini skrip untuk memuat turun daripada Youtube , Menyelesaikan isu dengan mendayakan Direct3D11 menggunakan pecutan perkakasan pada sistem dengan beberapa pemacu AMD.

Sumber: opennet.ru

Tambah komen