ProHoster > Blog > internetové správy > Aktualizácia prehrávača médií VLC 3.0.8 s opravenými chybami zabezpečenia

Aktualizácia prehrávača médií VLC 3.0.8 s opravenými chybami zabezpečenia

Predloženej opravné vydanie prehrávača médií VLC 3.0.8, v ktorej sa nahromadili Chyby a eliminovaný 13 zraniteľností, vrátane troch problémov (CVE-2019-14970, CVE-2019-14777, CVE-2019-14533) môže viesť k spusteniu kódu útočníka pri pokuse prehrať špeciálne navrhnuté multimediálne súbory vo formátoch MKV a ASF (pretečenie vyrovnávacej pamäte zápisu a dva problémy s prístupom do pamäte po jej uvoľnení).

Štyri zraniteľnosti v obslužných programoch formátu OGG, AV1, FAAD, ASF sú spôsobené schopnosťou čítať dáta z pamäťových oblastí mimo pridelenej vyrovnávacej pamäte. Tri problémy vedú k dereferenciám NULL ukazovateľa v rozbaľovačoch formátu dvdnav, ASF a AVI. Jedna chyba zabezpečenia umožňuje pretečenie celého čísla v dekompresore MP4.

Problém s rozbaľovačom formátu OGG (CVE-2019-14438) označené vývojármi VLC ako čítanie z oblasti mimo vyrovnávacej pamäte (pretečenie vyrovnávacej pamäte na čítanie), ale bezpečnostní výskumníci identifikovali zraniteľnosť pohľadávka, čo môže spôsobiť pretečenie zápisu a spustenie kódu pri spracovaní súborov OGG, OGM a OPUS so špeciálne navrhnutým blokom hlavičky.

Existuje aj zraniteľnosť (CVE-2019-14533) v rozbaľovači formátu ASF, ktorý vám umožňuje zapisovať údaje do už uvoľnenej oblasti pamäte a dosiahnuť spustenie kódu pri vykonávaní operácie posúvania dopredu alebo dozadu na časovej osi počas prehrávania WMV a WMA súbory. Okrem toho je problémom CVE-2019-13602 (pretečenie celého čísla) a CVE-2019-13962 (čítanie z oblasti mimo vyrovnávacej pamäte) priradená kritická úroveň nebezpečenstva (8.8 a 9.8), ale vývojári VLC nesúhlasia a nepovažujú tieto zraniteľnosti za nebezpečné (navrhujú zmenu úrovne na 4.3).

Medzi opravy, ktoré sa netýkajú zabezpečenia, patria opravy zasekávania videí s nízkou snímkovou frekvenciou, vylepšená podpora adaptívneho streamovania (vylepšený kód pre vyrovnávaciu pamäť), riešenie problémov s vykresľovaním titulkov WebVTT a vylepšený zvukový výstup na platformách. macOS a iOS, aktualizácia skriptu na sťahovanie z YouTube, riešenie problémov s používaním Direct3D11 na aplikáciu hardvérovej akcelerácie na systémoch s niektorými ovládačmi AMD.

Zdroj: opennet.ru

Kúpte si spoľahlivý hosting pre stránky s DDoS ochranou, VPS VDS servery 🔥 Kúpte si spoľahlivý webhosting s ochranou DDoS, VPS VDS servery | ProHoster