VLC播放器多个误差清静通告

宣布时间 2019-08-21

? 误差编号和级别


CVE编号:CVE-2019-13602 ,危险级别:高危 ,CVSS分值:8.8
CVE编号:CVE-2019-13962 ,危险级别:严重 ,CVSS分值:9.8


影响版本


受影响的版本


VLC 3.0.2 to 3.0.7.1


误差概述


VideoLAN VLC media player是法国VideoLAN组织的一款免费、开源的跨平台多媒体播放器(也是一个多媒体框架)。该产品支持播放多种介质(文件、光盘等)、多种音视频名堂(WMV,MP3等)等。


VLC宣布新版本修复了13个清静误差:CVE-2019-13602 ,CVE-2019-13962 ,CVE-2019-14437 ,CVE-2019-14438 ,CVE-2019-14498 ,CVE-2019-14535 ,CVE-2019-14534 ,CVE-2019-14533 ,CVE-2019-14776 ,CVE-2019-14778 ,CVE-2019-14779 ,CVE-2019-14777 ,CVE-2019-14970。其中CVE-2019-13602和CVE-2019-13962分数划分为8.8和9.8 ,概述如下:


CVE-2019-13602

VideoLAN VLC media player中的modules/demux/mp4/mp4.c文件的‘MP4_EIA608_Convert()’函数保存数字过失误差。该误差源于网络系统或产品未准确盘算或转换所爆发的数字。攻击者可使用该误差导致整数溢出或符号过失等。


CVE-2019-13962

VideoLAN VLC media player中的modules/codec/avcodec/video.c文件的lavc_CopyPicture保存缓冲区过失误差。该误差源于网络系统或产品在内存上执行操作时 ,未准确验证数据界线 ,导致向关联的其他内存位置上执行了过失的读写操作。攻击者可使用该误差导致缓冲区溢出或堆溢出等。


误差验证


暂无POC/EXP。


修复建议


现在厂商已宣布3.0.8版本以修复误差 ,下载链接:https://www.videolan.org/vlc/#download。


参考链接


https://www.videolan.org/security/sb-vlc308.html