Перейти к содержанию

Обновление медиапроигрывателя VLC 3.0.8 с устранением уязвимостей

Материал из Викиновостей, свободного источника новостей

20 августа 2019 года

Представлен корректирующий релиз медиаплеера VLC 3.0.8, в котором устранены накопившиеся ошибки и устранено 13 уязвимостей, среди которых три проблемы (CVE-2019-14970, CVE-2019-14777, CVE-2019-14533) могут привести (Архивная копия от 7 ноября 2020 на Wayback Machine) к выполнению кода злоумышленника при попытке воспроизведения специально оформленных мультимедийных файлов в форматах MKV и ASF (переполнение буфера на запись и две проблемы с обращением к памяти после её освобождения).

Четыре уязвимости в обработчиках форматов OGG, AV1, FAAD, ASF вызваны возможностью чтения данных из областей памяти вне выделенного буфера. Три проблемы приводят к разыменованием указателя NULL в распаковщиках форматов dvdnav, ASF и AVI. Одна уязвимость позволяет добиться целочисленного переполнения в распаковщике MP4.

Проблема в распаковщике формата OGG (CVE-2019-14438) отмечена разработчиками VLC как чтение из области вне буфера (read buffer overflow), но выявившие уязвимость исследователи безопасности утверждают (Архивная копия от 7 ноября 2020 на Wayback Machine), что можно вызвать переполнение на запись и организовать выполнение кода при обработке файлов OGG, OGM и OPUS со специально оформленным блоком заголовков.

Отмечается также уязвимость (CVE-2019-14533) в распаковщике формата ASF, которая позволяет записать данные в уже освобождённую область памяти и добиться выполнения кода при выполнении операции прокрутки вперёд или назад на шкале времени в процессе воспроизведения файлов WMV и WMA. Кроме того, проблемам CVE-2019-13602 (целочисленное переполнение) и CVE-2019-13962 (чтение из области вне буфера) присвоен критический уровень опасности (8.8 и 9.8), но разработчики VLC не согласны и считают данные уязвимости неопасными (предлагают поменять уровень на 4.3).

Из не связанных с безопасностью исправлений выделяются устранение заикания при просмотре видео с низкой частотой кадров, улучшение поддержки адаптивного потокового вещания (улучшен код буферизации), решение проблем с отрисовкой субтитров WebVTT, улучшение вывода звука на платформах macOS и iOS, обновление скрипта для загрузки с Youtube, решение проблем с задействованием Direct3D11 для применения аппаратного ускорения на системах с некоторыми драйверами AMD.

Источники

[править]


Creative Commons
Creative Commons
Эта статья содержит материалы из статьи «Обновление медиапроигрывателя VLC 3.0.8 с устранением уязвимостей», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.