幾天前 提出了一個新版本 流行媒體播放器的校正 VLC 3.0.8, 在其中 修復了累積的錯誤,並修復了13個漏洞。
其中三個問題 (CVE-2019-14970, CVE-2019-14777, CVE-2019-14533) 嘗試播放多媒體文件時可能導致執行攻擊者代碼 以MKV和ASF格式專門設計(用於記錄的緩衝區溢出和釋放後訪問內存的兩個問題)。
另一方面 格式驅動程序中的四個漏洞 OGG,AV1,FAAD,ASF 它們是由於能夠從分配的緩衝區之外的存儲區域讀取數據而引起的。
三個問題導致在dvdnav,ASF和AVI格式解壓縮中取消引用NULL指針。 一個漏洞使MP4解壓縮器中出現整數溢出。
關於固定漏洞
VLC開發人員指出OGG格式解包器中的問題 (CVE-2019-14438)正在從緩衝區外部的區域讀取數據(讀取緩衝區溢出),但是安全研究人員認為 發現該漏洞聲稱可能導致寫入溢出 當使用特製的標頭塊處理OGG,OGM和OPUS文件時,可以組織代碼執行。
還有一個漏洞 (CVE-2019-14533) 在ASF格式的解壓縮程序中,它允許您將數據寫入已經釋放的內存區域 並在播放WMV和WMA文件時通過在時間軸上向前或向後掃描來實現代碼執行。
另外,將問題CVE-2019-13602(整數溢出)和CVE-2019-13962(從緩衝區外部的區域讀取)分配了嚴重危險級別(8.8和9.8),但VLC開發人員沒有他們同意並認為這些漏洞不是危險的(建議將級別更改為4.3)。
非安全性修復程序包括消除觀看視頻時的口吃 低幀速率時,改善對自適應流的支持(改進的緩衝代碼)。
它們還有助於解決WebVTT字幕渲染的問題,改善macOS和iOS平台上的音頻輸出。
從YouTube下載的腳本也已更新,解決了使用Direct3D11在具有某些AMD驅動程序的系統中使用硬件加速的問題。
如何在Linux上安裝VLC Media Player 3.0.8?
對於那些 Debian,Ubuntu,Linux Mint和派生用戶,只需在終端中鍵入以下內容:
sudo apt-get更新sudo apt-get安裝vlc browser-plugin-vlc
當為 使用Arch Linux,Manjaro,Arco Linux或從Arch Linux派生的任何發行版的用戶,我們必須輸入:
sudo pacman -S vlc
如果您是KaOS Linux發行版的用戶,則安裝命令與Arch Linux相同。
現在對於那些 任何版本的openSUSE的用戶,只需在終端上鍵入以下內容即可安裝:
須藤zypper安裝vlc
對於那些 是Fedora用戶及其任何派生用戶,他們必須輸入以下內容:
sudo dnf安裝https://download1.rpmfusion.org/free/fedora/rpmfusion-free-release-$(rpm -E%fedora).noarch.rpm sudo dnf安裝vlc
至 在其他Linux發行版中,我們可以在Flatpak或Snap軟件包的幫助下安裝此軟件。 我們只需要獲得安裝這些技術的應用程序的支持即可。
Si 要在Snap的幫助下進行安裝,我們只需要在終端中鍵入以下命令即可:
sudo snap install vlc
要安裝該程序的候選版本,請執行以下操作:
sudo snap install vlc-候選
最後,如果要安裝該程序的beta版本,則必須鍵入:
須藤快照安裝 vlc --beta
如果您是從Snap安裝的應用程序,並且想更新到新版本,則只需鍵入:
須藤快照刷新VLC
最後對於q那些想從Flatpak安裝的用戶,請使用以下命令進行安裝:
flatpak安裝-用戶https://flathub.org/repo/appstream/org.videolan.VLC.flatpakref
如果他們已經安裝並想要更新,則必須輸入:
flatpak-用戶更新org.videolan.VLC