首頁 > 安全研究 > 安全通報 > 安全通告

VLC播放器多個漏洞安全通告

發布時間 2019-08-21

? 漏洞編號和級別


CVE編號:CVE-2019-13602,危險級別:高危,CVSS分值:8.8
CVE編號:CVE-2019-13962,危險級別:嚴重,CVSS分值:9.8


影響版本


受影響的版本


VLC 3.0.2 to 3.0.7.1


漏洞概述


VideoLAN VLC media player是法國VideoLAN組織的一款免費、開源的跨平臺多媒體播放器(也是一個多媒體框架)。該產品支持播放多種介質(文件、光盤等)、多種音視頻格式(WMV,MP3等)等。


VLC發布新版本修復了13個安全漏洞:CVE-2019-13602,CVE-2019-13962,CVE-2019-14437,CVE-2019-14438,CVE-2019-14498,CVE-2019-14535,CVE-2019-14534,CVE-2019-14533,CVE-2019-14776,CVE-2019-14778,CVE-2019-14779,CVE-2019-14777,CVE-2019-14970。其中CVE-2019-13602和CVE-2019-13962分數分別為8.8和9.8,概述如下:


CVE-2019-13602

VideoLAN VLC media player中的modules/demux/mp4/mp4.c文件的‘MP4_EIA608_Convert()’函數存在數字錯誤漏洞。該漏洞源于網絡系統或產品未正確計算或轉換所產生的數字。攻擊者可利用該漏洞導致整數溢出或符號錯誤等。


CVE-2019-13962

VideoLAN VLC media player中的modules/codec/avcodec/video.c文件的lavc_CopyPicture存在緩沖區錯誤漏洞。該漏洞源于網絡系統或產品在內存上執行操作時,未正確驗證數據邊界,導致向關聯的其他內存位置上執行了錯誤的讀寫操作。攻擊者可利用該漏洞導致緩沖區溢出或堆溢出等。


漏洞驗證


暫無POC/EXP。


修復建議


目前廠商已發布3.0.8版本以修復漏洞,下載鏈接:https://www.videolan.org/vlc/#download。


參考鏈接


https://www.videolan.org/security/sb-vlc308.html


上一篇 下一篇