ProHoster > Blog > internetové správy > Aktualizácia prehrávača médií VLC 3.0.8 s opravenými chybami zabezpečenia

Aktualizácia prehrávača médií VLC 3.0.8 s opravenými chybami zabezpečenia

Predloženej opravné vydanie prehrávača médií VLC 3.0.8, v ktorej sa nahromadili Chyby a eliminovaný 13 zraniteľností, vrátane troch problémov (CVE-2019-14970, CVE-2019-14777, CVE-2019-14533) môže viesť k spusteniu kódu útočníka pri pokuse prehrať špeciálne navrhnuté multimediálne súbory vo formátoch MKV a ASF (pretečenie vyrovnávacej pamäte zápisu a dva problémy s prístupom do pamäte po jej uvoľnení).

Štyri zraniteľnosti v obslužných programoch formátu OGG, AV1, FAAD, ASF sú spôsobené schopnosťou čítať dáta z pamäťových oblastí mimo pridelenej vyrovnávacej pamäte. Tri problémy vedú k dereferenciám NULL ukazovateľa v rozbaľovačoch formátu dvdnav, ASF a AVI. Jedna chyba zabezpečenia umožňuje pretečenie celého čísla v dekompresore MP4.

Problém s rozbaľovačom formátu OGG (CVE-2019-14438) označené vývojármi VLC ako čítanie z oblasti mimo vyrovnávacej pamäte (pretečenie vyrovnávacej pamäte na čítanie), ale bezpečnostní výskumníci identifikovali zraniteľnosť pohľadávka, čo môže spôsobiť pretečenie zápisu a spustenie kódu pri spracovaní súborov OGG, OGM a OPUS so špeciálne navrhnutým blokom hlavičky.

Existuje aj zraniteľnosť (CVE-2019-14533) v rozbaľovači formátu ASF, ktorý vám umožňuje zapisovať údaje do už uvoľnenej oblasti pamäte a dosiahnuť spustenie kódu pri vykonávaní operácie posúvania dopredu alebo dozadu na časovej osi počas prehrávania WMV a WMA súbory. Okrem toho je problémom CVE-2019-13602 (pretečenie celého čísla) a CVE-2019-13962 (čítanie z oblasti mimo vyrovnávacej pamäte) priradená kritická úroveň nebezpečenstva (8.8 a 9.8), ale vývojári VLC nesúhlasia a nepovažujú tieto zraniteľnosti za nebezpečné (navrhujú zmenu úrovne na 4.3).

Opravy nesúvisiace so zabezpečením zahŕňajú opravu koktania pri sledovaní videí pri nízkych snímkových frekvenciách, vylepšenie podpory adaptívneho streamovania (vylepšený kód ukladania do vyrovnávacej pamäte), riešenie problémov s vykresľovaním titulkov WebVTT, vylepšenie zvukového výstupu na platformách macOS a iOS, aktualizáciu skriptu na sťahovanie z Youtube, Riešenie problémov s povolením Direct3D11 použiť hardvérovú akceleráciu v systémoch s niektorými ovládačmi AMD.

Zdroj: opennet.ru

Pridať komentár