opravné vydání přehrávače médií , ve kterém se nahromadilo a vyloučeno , včetně tří problémů (CVE-2019-14970, CVE-2019-14777, CVE-2019-14533) na spuštění kódu útočníka při pokusu o přehrání speciálně navržených multimediálních souborů ve formátech MKV a ASF (přetečení vyrovnávací paměti zápisu a dva problémy s přístupem k paměti po jejím uvolnění).
Čtyři zranitelnosti v obslužných programech formátů OGG, AV1, FAAD, ASF jsou způsobeny schopností číst data z paměťových oblastí mimo přidělenou vyrovnávací paměť. Tři problémy vedou k dereferencím ukazatele NULL v rozbalovačích formátu dvdnav, ASF a AVI. Jedna chyba zabezpečení umožňuje přetečení celého čísla v dekompresoru MP4.
Problém s rozbalovačem formátu OGG (CVE-2019-14438) vývojáři VLC jako čtení z oblasti mimo vyrovnávací paměť (přetečení vyrovnávací paměti čtení), ale bezpečnostní výzkumníci tuto chybu zabezpečení identifikovali , což může způsobit přetečení zápisu a spuštění kódu při zpracování souborů OGG, OGM a OPUS se speciálně navrženým blokem záhlaví.
Existuje také zranitelnost (CVE-2019-14533) v rozbalovači formátu ASF, který umožňuje zapisovat data do již uvolněné oblasti paměti a dosáhnout spuštění kódu při provádění operace posouvání vpřed nebo vzad na časové ose během přehrávání WMV a soubory WMA. Kromě toho je problémům CVE-2019-13602 (přetečení celého čísla) a CVE-2019-13962 (čtení z oblasti mimo vyrovnávací paměť) přiřazena kritická úroveň nebezpečí (8.8 a 9.8), ale vývojáři VLC nesouhlasí a nepovažují tyto zranitelnosti za nebezpečné (navrhují změnu úrovně na 4.3).
Opravy nesouvisející se zabezpečením zahrnují opravu zadrhávání při sledování videí při nízké snímkové frekvenci, vylepšení podpory adaptivního streamování (vylepšený kód ukládání do vyrovnávací paměti), vyřešení problémů s vykreslováním titulků WebVTT, vylepšení zvukového výstupu na platformách macOS a iOS, aktualizace skriptu pro stahování z Youtube, Řešení problémů s povolením Direct3D11 použít hardwarovou akceleraci na systémech s některými ovladači AMD.
Zdroj: opennet.ru