які карэктуе рэліз медыяплэера , у якім ліквідаваны назапашаныя і ўхілена , сярод якіх тры праблемы (CVE-2019-14970, CVE-2019-14777, CVE-2019-14533) да выканання кода зламысніка пры спробе прайгравання спецыяльна аформленых мультымедыйных файлаў у фарматах MKV і ASF (перапаўненне буфера на запіс і дзве праблемы са зваротам да памяці пасля яе вызвалення).
Чатыры ўразлівасці ў апрацоўшчыках фарматаў OGG, AV1, FAAD, ASF выкліканыя магчымасцю чытання дадзеных з абласцей памяці па-за вылучаным буферам. Тры праблемы прыводзяць да разнаймення паказальніка NULL у распакоўшчыкаў фарматаў dvdnav, ASF і AVI. Адна ўразлівасць дазваляе дамагчыся цэлалікавага перапаўнення ў распакавальніку MP4.
Праблема ў распакоўшчыку фармату OGG (CVE-2019-14438) распрацоўнікамі VLC як чытанне з вобласці па-за буферам (read buffer overflow), але якія выявілі ўразлівасць даследнікі бяспекі , што можна выклікаць перапаўненне на запіс і арганізаваць выкананне кода пры апрацоўцы файлаў OGG, OGM і OPUS са спецыяльна аформленым блокам загалоўкаў.
Адзначаецца таксама ўразлівасць (CVE-2019-14533) у распакавальніку фармату ASF, якая дазваляе запісаць дадзеныя ва ўжо вызваленую вобласць памяці і дамагчыся выкананні кода пры выкананні аперацыі пракруткі наперад або назад на шкале часу падчас прайгравання файлаў WMV і WMA. Акрамя таго, праблемам CVE-2019-13602 (цэлалікавае перапаўненне) і CVE-2019-13962 (чытанне з вобласці па-за буферам) прысвоены крытычны ўзровень небяспекі (8.8 і 9.8), але распрацоўшчыкі VLC не згодныя і лічаць дадзеныя ўразлівасці бяспечнымі (прапануюць змены на 4.3).
З не звязаных з бяспекай выпраўленняў вылучаюцца ўхіленне заікання пры праглядзе відэа з нізкай частатой кадраў, паляпшэнне падтрымкі адаптыўнага струменевага вяшчання (палепшаны код буферызацыі), рашэнне праблем з адмалёўкай субтытраў WebVTT, паляпшэнне высновы гуку на платформах macOS і iOS, абнаўленне скрыпту для загрузкі з Youtube , рашэнне праблем з задзейнічаннем Direct3D11 для прымянення апаратнага паскарэння на сістэмах з некаторымі драйверамі AMD.
Крыніца: opennet.ru