Vier Schwachstellen in den OGG-, AV1-, FAAD- und ASF-Format-Handlern werden durch die Fähigkeit verursacht, Daten aus Speicherbereichen außerhalb des zugewiesenen Puffers zu lesen. Drei Probleme führen zu NULL-Zeiger-Dereferenzierungen in dvdnav-, ASF- und AVI-Format-Entpackern. Eine Schwachstelle ermöglicht einen Integer-Überlauf im MP4-Dekompressor.
Problem mit dem OGG-Format-Entpacker (CVE-2019-14438)
Es gibt auch eine Schwachstelle (CVE-2019-14533) im ASF-Format-Entpacker, die es Ihnen ermöglicht, Daten in einen bereits freigegebenen Speicherbereich zu schreiben und eine Codeausführung zu erreichen, wenn Sie während der WMV-Wiedergabe einen Vorwärts- oder Rückwärtslaufvorgang auf der Timeline durchführen WMA-Dateien. Darüber hinaus wird den Problemen CVE-2019-13602 (Ganzzahlüberlauf) und CVE-2019-13962 (Lesen aus einem Bereich außerhalb des Puffers) eine kritische Gefahrenstufe (8.8 und 9.8) zugeordnet, mit der die VLC-Entwickler jedoch nicht einverstanden sind halten diese Schwachstellen für nicht gefährlich (sie schlagen vor, die Stufe auf 4.3 zu ändern).
Zu den nicht sicherheitsrelevanten Korrekturen gehören die Behebung von Stottern beim Ansehen von Videos mit niedrigen Bildraten, die Verbesserung der Unterstützung für adaptives Streaming (verbesserter Puffercode), die Lösung von Problemen beim Rendern von WebVTT-Untertiteln, die Verbesserung der Audioausgabe auf macOS- und iOS-Plattformen sowie die Aktualisierung des Skripts zum Herunterladen von YouTube. Behebung von Problemen bei der Aktivierung von Direct3D11 zur Anwendung der Hardwarebeschleunigung auf Systemen mit einigen AMD-Treibern.
Source: opennet.ru