Кілька днів тому була представлена нова версія коригувальник популярного медіаплеєра VLC 3.0.8, в якому виправлено накопичені помилки та виправлено 13 уразливостей.
З яких три проблеми (CVE-2019-14970, CVE-2019-14777, CVE-2019-14533) може призвести до виконання коду зловмисника при спробі відтворення мультимедійних файлів спеціально розроблений у форматах MKV та ASF (переповнення буфера для запису та дві проблеми з доступом до пам'яті після її звільнення).
З іншого боку чотири вразливості у форматі драйверів OGG, AV1, FAAD, ASF вони спричинені можливістю зчитування даних із областей пам'яті поза виділеним буфером.
Три проблеми призводять до розстановки посилань на покажчик NULL при розпакуванні у форматі dvdnav, ASF та AVI. Уразливість дозволяє переповнювати цілі числа в розпаковувальному файлі MP4.
Про виправлені вразливості
Розробники VLC зазначили, що проблема в розпакувальному форматі OGG (CVE-2019-14438) читав з області за межами буфера (переповнення буфера), але дослідники безпеки, що виявив заяву про вразливість, що можна спричинити переповнення запису і організувати виконання коду під час обробки файлів OGG, OGM та OPUS за допомогою спеціально створеного блоку заголовків.
Також є вразливість (CVE-2019-14533) в розпакувальному пристрої формату ASF, що дозволяє записувати дані у вже звільнену область пам'яті і домогтися виконання коду шляхом сканування вперед або назад на шкалі часу під час відтворення файлів WMV та WMA.
Крім того, проблемам CVE-2019-13602 (переповнення цілого числа) та CVE-2019-13962 (зчитування з області за межами буфера) було призначено критичний рівень небезпеки (8.8 та 9.8), але розробники VLC не погодились і вважають, що ці вразливості не небезпечні (пропонуємо змінити рівень на 4.3).
Виправлення, що не стосуються безпеки, включають усунення заїкання під час перегляду відео з низькою частотою кадрів, покращити підтримку адаптивного потокового передавання (покращений код буферизації).
Вони також допомагають вирішити проблеми з відтворенням субтитрів WebVTT, покращують вихід звуку на платформах macOS та iOS.
Також був оновлений сценарій для завантаження з YouTube, вирішуючи проблеми з використанням Direct3D11 для використання апаратного прискорення в системах з деякими драйверами AMD.
Як встановити VLC Media Player 3.0.8 на Linux?
Для тих, хто є Користувачам Debian, Ubuntu, Linux Mint та похідних, просто введіть у терміналі наступне:
sudo apt-get update sudo apt-get install vlc browser-plugin-vlc
Поки за Тим, хто користується Arch Linux, Manjaro, Arco Linux або будь-яким дистрибутивом, похідним від Arch Linux, ми повинні ввести:
Судo Pacman -S VLC
Якщо ви користуєтесь дистрибутивом KaOS Linux, команда встановлення така ж, як і для Arch Linux.
Тепер для тих, хто є користувачі будь-якої версії openSUSE, вони повинні лише набрати в терміналі таке, щоб встановити:
sudo zypper встановити vlc
Для тих, хто є користувачами Fedora та будь-яким його похідним, вони повинні ввести наступне:
sudo dnf install https://download1.rpmfusion.org/free/fedora/rpmfusion-free-release-$(rpm -E% fedora) .noarch.rpm sudo dnf install vlc
в решту дистрибутивів Linux ми можемо встановити це програмне забезпечення за допомогою пакетів Flatpak або Snap. Нам потрібна лише підтримка для встановлення програм цих технологій.
Si хочете встановити за допомогою Snap, нам просто потрібно набрати в терміналі таку команду:
sudo snap встановлення vlc
Щоб встановити версію програми-кандидата, зробіть це за допомогою:
sudo snap install vlc --candidate
Нарешті, якщо ви хочете встановити бета-версію програми, вам слід набрати:
sudo snap install vlc --beta
Якщо ви встановили програму з Snap і хочете оновити її до нової версії, вам просто потрібно ввести:
sudo snap refresh vlc - -
Нарешті для qТі, хто хоче встановити з Flatpak, роблять це за допомогою наступної команди:
встановити flatpak - користувач https://flathub.org/repo/appstream/org.videolan.VLC.flatpakref
І якщо вони вже встановили і хочуть оновити, вони повинні ввести:
flatpak - оновлення користувача org.videolan.VLC