medieafspiller korrigerende udgivelse , hvori den akkumulerede og elimineret , herunder tre problemer (CVE-2019-14970, CVE-2019-14777, CVE-2019-14533) til eksekvering af en angribers kode, når man forsøger at afspille specialdesignede multimediefiler i MKV- og ASF-formater (skrivebufferoverløb og to problemer med at få adgang til hukommelsen, efter den er frigivet).
Fire sårbarheder i OGG-, AV1-, FAAD-, ASF-formathandlerne er forårsaget af evnen til at læse data fra hukommelsesområder uden for den tildelte buffer. Tre problemer fører til NULL pointer-dereferencer i dvdnav-, ASF- og AVI-formatudpakkere. En sårbarhed giver mulighed for et heltalsoverløb i MP4-dekomprimeringen.
Problem med OGG-formatudpakkeren (CVE-2019-14438) af VLC-udviklere som læsning fra et område uden for bufferen (læs bufferoverløb), men sikkerhedsforskere identificerede sårbarheden , som kan forårsage skriveoverløb og forårsage kodeudførelse ved behandling af OGG-, OGM- og OPUS-filer med en specialdesignet headerblok.
Der er også en sårbarhed (CVE-2019-14533) i ASF format unpacker, som giver dig mulighed for at skrive data til et allerede frigivet hukommelsesområde og opnå kodeudførelse, når du udfører en scroll frem eller tilbage på tidslinjen under afspilning af WMV og WMA filer. Derudover er problemerne CVE-2019-13602 (heltalsoverløb) og CVE-2019-13962 (læsning fra et område uden for bufferen) tildelt et kritisk fareniveau (8.8 og 9.8), men VLC-udviklerne er ikke enige og anser disse sårbarheder for ikke farlige (de foreslår at ændre niveauet til 4.3).
Ikke-sikkerhedsmæssige rettelser inkluderer fixering af hakken, når du ser videoer ved lave billedhastigheder, forbedring af understøttelse af adaptiv streaming (forbedret bufferkode), løsning af problemer med gengivelse af WebVTT-undertekster, forbedring af lydoutput på macOS- og iOS-platforme, opdatering af scriptet til download fra Youtube, Løsning af problemer med at aktivere Direct3D11 til at anvende hardwareacceleration på systemer med nogle AMD-drivere.
Kilde: opennet.ru