首页 > 安全研究 > 安全通报 > 安全通告

VLC播放器多个漏洞安全通告

发布时间 2019-08-21

漏洞编号和级别


CVE编号:CVE-2019-13602,危险级别:高危,CVSS分值:8.8
CVE编号:CVE-2019-13962,危险级别:严重,CVSS分值:9.8


• 影响版本


受影响的版本


VLC 3.0.2 to 3.0.7.1


• 漏洞概述


VideoLAN VLC media player是法国VideoLAN组织的一款免费、开源的跨平台多媒体播放器(也是一个多媒体框架)。该产品支持播放多种介质(文件、光盘等)、多种音视频格式(WMV,MP3等)等。


VLC发布新版本修复了13个安全漏洞:CVE-2019-13602,CVE-2019-13962,CVE-2019-14437,CVE-2019-14438,CVE-2019-14498,CVE-2019-14535,CVE-2019-14534,CVE-2019-14533,CVE-2019-14776,CVE-2019-14778,CVE-2019-14779,CVE-2019-14777,CVE-2019-14970。其中CVE-2019-13602和CVE-2019-13962分数分别为8.8和9.8,概述如下:


CVE-2019-13602

VideoLAN VLC media player中的modules/demux/mp4/mp4.c文件的‘MP4_EIA608_Convert()’函数存在数字错误漏洞。该漏洞源于网络系统或产品未正确计算或转换所产生的数字。攻击者可利用该漏洞导致整数溢出或符号错误等。


CVE-2019-13962

VideoLAN VLC media player中的modules/codec/avcodec/video.c文件的lavc_CopyPicture存在缓冲区错误漏洞。该漏洞源于网络系统或产品在内存上执行操作时,未正确验证数据边界,导致向关联的其他内存位置上执行了错误的读写操作。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。


• 漏洞验证


暂无POC/EXP。


• 修复建议


目前厂商已发布3.0.8版本以修复漏洞,下载链接:https://www.videolan.org/vlc/#download。


• 参考链接


https://www.videolan.org/security/sb-vlc308.html


上一篇 下一篇