Čtyři zranitelnosti v obslužných programech formátů OGG, AV1, FAAD, ASF jsou způsobeny schopností číst data z paměťových oblastí mimo přidělenou vyrovnávací paměť. Tři problémy vedou k dereferencím ukazatele NULL v rozbalovačích formátu dvdnav, ASF a AVI. Jedna chyba zabezpečení umožňuje přetečení celého čísla v dekompresoru MP4.
Problém s rozbalovačem formátu OGG (CVE-2019-14438)
Existuje také zranitelnost (CVE-2019-14533) v rozbalovači formátu ASF, který umožňuje zapisovat data do již uvolněné oblasti paměti a dosáhnout spuštění kódu při provádění operace posouvání vpřed nebo vzad na časové ose během přehrávání WMV a soubory WMA. Kromě toho je problémům CVE-2019-13602 (přetečení celého čísla) a CVE-2019-13962 (čtení z oblasti mimo vyrovnávací paměť) přiřazena kritická úroveň nebezpečí (8.8 a 9.8), ale vývojáři VLC nesouhlasí a nepovažují tyto zranitelnosti za nebezpečné (navrhují změnu úrovně na 4.3).
Opravy nesouvisející se zabezpečením zahrnují opravu zadrhávání při sledování videí při nízké snímkové frekvenci, vylepšení podpory adaptivního streamování (vylepšený kód ukládání do vyrovnávací paměti), vyřešení problémů s vykreslováním titulků WebVTT, vylepšení zvukového výstupu na platformách macOS a iOS, aktualizace skriptu pro stahování z Youtube, Řešení problémů s povolením Direct3D11 použít hardwarovou akceleraci na systémech s některými ovladači AMD.
Zdroj: opennet.ru