修正媒体播放器版本 ,其中累计的 并消除了 ,包括三个问题(CVE-2019-14970、CVE-2019-14777、CVE-2019-14533) 当尝试播放专门设计的 MKV 和 ASF 格式的多媒体文件时执行攻击者的代码(写入缓冲区溢出以及释放内存后访问内存的两个问题)。
OGG、AV1、FAAD、ASF 格式处理程序中的四个漏洞是由于从分配的缓冲区之外的内存区域读取数据的能力引起的。 三个问题导致 dvdnav、ASF 和 AVI 格式解包器中的 NULL 指针取消引用。 一个漏洞允许 MP4 解压缩器中出现整数溢出。
OGG 格式解包程序出现问题 (CVE-2019-14438) 被 VLC 开发人员认为是从缓冲区外部区域读取(读缓冲区溢出),但安全研究人员发现了该漏洞 ,在处理带有专门设计的头块的 OGG、OGM 和 OPUS 文件时,可能会导致写入溢出并导致代码执行。
ASF 格式解包器还存在一个漏洞(CVE-2019-14533),该漏洞允许您在播放 WMV 和WMA 文件。 此外,问题CVE-2019-13602(整数溢出)和CVE-2019-13962(从缓冲区外部区域读取)被分配了危险级别(8.8和9.8),但VLC开发人员不同意并且认为这些漏洞并不危险(他们建议将级别更改为 4.3)。
非安全修复包括修复低帧率观看视频时的卡顿问题、改进对自适应流媒体的支持(改进缓冲代码)、解决渲染 WebVTT 字幕的问题、改进 macOS 和 iOS 平台上的音频输出、更新从 Youtube 下载的脚本、解决了启用 Direct3D11 在具有某些 AMD 驱动程序的系统上应用硬件加速的问题。
来源: opennet.ru