几天前 提出了一个新版本 流行媒体播放器的校正 VLC 3.0.8, 在其中 修复了累积的错误,并修复了13个漏洞。
其中三个问题 (CVE-2019-14970, CVE-2019-14777, CVE-2019-14533) 尝试播放多媒体文件时可能导致执行攻击者代码 特别设计为MKV和ASF格式(记录缓冲区溢出和释放内存后访问内存的两个问题)。
另一方面 格式驱动程序中的四个漏洞 OGG,AV1,FAAD,ASF 它们是由于能够从分配的缓冲区之外的存储区域读取数据而引起的。
三个问题导致在dvdnav,ASF和AVI格式解压缩中取消引用NULL指针。 一个漏洞使MP4解压缩器中的整数溢出。
关于固定漏洞
VLC开发人员注意到OGG格式解包器中的问题 (CVE-2019-14438)正在从缓冲区外部的区域读取数据(读取缓冲区溢出),但是安全研究人员认为 发现该漏洞声称可能导致写入溢出 当使用特制的标头块处理OGG,OGM和OPUS文件时,可以组织代码执行。
还有一个漏洞 (CVE-2019-14533) 在ASF格式的解压缩程序中,它允许您将数据写入已经释放的内存区域 并在播放WMV和WMA文件时通过在时间轴上向前或向后扫描来实现代码执行。
此外,还为问题CVE-2019-13602(整数溢出)和CVE-2019-13962(从缓冲区外区域读取)分配了严重危害级别(8.8和9.8),但VLC开发人员没有同意并认为这些漏洞不是危险的(建议将级别更改为4.3)。
非安全修复程序包括消除观看视频时的口吃 低帧速率时,改善对自适应流的支持(改进的缓冲代码)。
它们还有助于解决WebVTT字幕渲染的问题,改善macOS和iOS平台上的音频输出。
从YouTube下载的脚本也已更新,解决了使用Direct3D11在具有某些AMD驱动程序的系统中使用硬件加速的问题。
如何在Linux上安装VLC Media Player 3.0.8?
对于那些 Debian,Ubuntu,Linux Mint和派生用户,只需在终端中键入以下内容:
sudo apt-get更新sudo apt-get install vlc browser-plugin-vlc
当为 使用Arch Linux,Manjaro,Arco Linux或从Arch Linux派生的任何发行版的用户,我们必须输入:
须藤pacman -S vlc
如果您是KaOS Linux发行版的用户,则安装命令与Arch Linux相同。
现在对于那些 任何版本的openSUSE的用户,只需在终端上键入以下内容即可安装:
须藤zypper安装vlc
对于那些 是Fedora用户及其任何派生用户,他们必须输入以下内容:
sudo dnf安装https://download1.rpmfusion.org/free/fedora/rpmfusion-free-release-$(rpm -E%fedora).noarch.rpm sudo dnf安装vlc
至 在其他Linux发行版中,我们可以在Flatpak或Snap软件包的帮助下安装此软件。 我们只需要获得安装这些技术的应用程序的支持即可。
Si 要在Snap的帮助下进行安装,我们只需要在终端中输入以下命令即可:
sudo snap安装vlc
要安装该程序的候选版本,请执行以下操作:
sudo snap install vlc-候选
最后,如果要安装该程序的beta版本,则必须键入:
须藤快照安装 vlc --beta
如果您是从Snap安装的应用程序,并且想更新到新版本,则只需键入:
须藤快照刷新VLC
最后对于q那些想从Flatpak安装的用户,请使用以下命令进行安装:
flatpak安装-用户https://flathub.org/repo/appstream/org.videolan.VLC.flatpakref
如果他们已经安装并想要更新,则必须输入:
flatpak-用户更新org.videolan.VLC