ProHoster > blog > habari za mtandao > Sasisho la kicheza media cha VLC 3.0.8 na udhaifu umewekwa

Sasisho la kicheza media cha VLC 3.0.8 na udhaifu umewekwa

Iliyowasilishwa na marekebisho ya kicheza media VLC 3.0.8, ambayo kusanyiko makosa na kuondolewa 13 udhaifu, ikiwa ni pamoja na matatizo matatu (CVE-2019-14970, CVE-2019-14777, CVE-2019-14533) inaweza kuongoza kutekeleza msimbo wa mshambulizi unapojaribu kucheza faili za medianuwai zilizoundwa mahususi katika umbizo la MKV na ASF (andika bafa kufurika na matatizo mawili ya kupata kumbukumbu baada ya kuachiliwa).

Athari nne katika vidhibiti vya umbizo la OGG, AV1, FAAD, ASF husababishwa na uwezo wa kusoma data kutoka maeneo ya kumbukumbu nje ya bafa iliyotengwa. Matatizo matatu husababisha kuachwa kwa vielelezo NULL katika viondoa vifungashio vya umbizo la dvdnav, ASF na AVI. Athari moja huruhusu kufurika kamili katika kipunguzaji cha MP4.

Tatizo la kifungua faili cha umbizo la OGG (CVE-2019-14438) alama na watengenezaji wa VLC kama kusoma kutoka eneo lililo nje ya bafa (soma bafa kufurika), lakini watafiti wa usalama waligundua hatari hiyo. kudai, ambayo inaweza kusababisha maandishi mengi na kusababisha utekelezaji wa msimbo wakati wa kuchakata faili za OGG, OGM na OPUS kwa kizuizi cha kichwa kilichoundwa mahususi.

Pia kuna uwezekano wa kuathiriwa (CVE-2019-14533) katika kifungua faili cha umbizo la ASF, ambacho hukuruhusu kuandika data kwenye eneo la kumbukumbu ambalo tayari limeachiliwa na kufikia utekelezaji wa msimbo unapofanya uendeshaji wa kusogeza mbele au nyuma kwenye kalenda ya matukio wakati wa uchezaji wa WMV na. faili za WMA. Kwa kuongeza, matatizo CVE-2019-13602 (integer overflow) na CVE-2019-13962 (kusoma kutoka eneo nje ya buffer) wamepewa kiwango muhimu cha hatari (8.8 na 9.8), lakini watengenezaji wa VLC hawakubaliani na kuzingatia udhaifu huu sio hatari (wanapendekeza kubadilisha kiwango hadi 4.3).

Marekebisho yasiyo ya usalama yanajumuisha kurekebisha kigugumizi wakati wa kutazama video kwa viwango vya chini vya fremu, kuboresha usaidizi wa utiririshaji unaobadilika (msimbo ulioboreshwa wa kuakibisha), kutatua matatizo ya kutoa manukuu ya WebVTT, kuboresha utoaji wa sauti kwenye majukwaa ya MacOS na iOS, kusasisha hati ili kupakua kutoka Youtube , Kutatua masuala kwa kuwezesha Direct3D11 kutumia kuongeza kasi ya maunzi kwenye mifumo iliyo na viendeshi vingine vya AMD.

Chanzo: opennet.ru

Kuongeza maoni