korektivno izdanje media playera , u kojem se akumulira i eliminisan , uključujući tri problema (CVE-2019-14970, CVE-2019-14777, CVE-2019-14533) do izvršenja napadačevog koda pri pokušaju reprodukcije posebno dizajniranih multimedijalnih datoteka u MKV i ASF formatima (prelivanje bafera za pisanje i dva problema sa pristupom memoriji nakon što se ona oslobodi).
Četiri ranjivosti u rukovaocima formata OGG, AV1, FAAD, ASF uzrokovane su mogućnošću čitanja podataka iz memorijskih područja izvan dodijeljenog bafera. Tri problema dovode do dereferenciranja NULL pokazivača u raspakivačima dvdnav, ASF i AVI formata. Jedna ranjivost omogućava prelivanje cijelog broja u MP4 dekompresoru.
Problem s raspakivačem OGG formata (CVE-2019-14438) VLC programeri kao čitanje iz područja izvan bafera (preljev bafera za čitanje), ali su istraživači sigurnosti identificirali ranjivost , što može uzrokovati prelijevanje pisanja i uzrokovati izvršenje koda prilikom obrade OGG, OGM i OPUS datoteka sa posebno dizajniranim blokom zaglavlja.
Postoji i ranjivost (CVE-2019-14533) u raspakivaču formata ASF, koji vam omogućava da upišete podatke u već oslobođeno memorijsko područje i postignete izvršenje koda prilikom izvođenja operacije pomicanja naprijed ili nazad na vremenskoj liniji tokom reprodukcije WMV-a i WMA fajlovi. Osim toga, problemima CVE-2019-13602 (prelivanje cijelog broja) i CVE-2019-13962 (čitanje iz područja izvan bafera) je dodijeljen kritični nivo opasnosti (8.8 i 9.8), ali VLC programeri se ne slažu i smatraju ove ranjivosti neopasnim (predlažu promjenu nivoa na 4.3).
Nesigurnosne ispravke uključuju ispravljanje zastoja pri gledanju videa pri niskom broju kadrova, poboljšanje podrške za adaptivni streaming (poboljšani kod za međuspremnik), rješavanje problema s prikazivanjem WebVTT titlova, poboljšanje audio izlaza na macOS i iOS platformama, ažuriranje skripte za preuzimanje sa Youtube-a, Rješavanje problema s omogućavanjem Direct3D11 primjene hardverskog ubrzanja na sistemima s nekim AMD drajverima.
izvor: opennet.ru