Διορθωτική έκδοση του media player , στην οποία η συσσωρευμένη και εξαλείφθηκαν , συμπεριλαμβανομένων τριών προβλημάτων (CVE-2019-14970, CVE-2019-14777, CVE-2019-14533) στην εκτέλεση του κώδικα ενός εισβολέα όταν προσπαθεί να παίξει ειδικά σχεδιασμένα αρχεία πολυμέσων σε μορφές MKV και ASF (εγγραφή υπερχείλισης buffer και δύο προβλήματα με την πρόσβαση στη μνήμη μετά την απελευθέρωσή της).
Τέσσερα τρωτά σημεία στους χειριστές μορφής OGG, AV1, FAAD, ASF προκαλούνται από τη δυνατότητα ανάγνωσης δεδομένων από περιοχές μνήμης εκτός του εκχωρημένου buffer. Τρία προβλήματα οδηγούν σε παραπομπές δείκτη NULL σε αποσυμπιεστές μορφών dvdnav, ASF και AVI. Μια ευπάθεια επιτρέπει μια υπερχείλιση ακέραιου αριθμού στον αποσυμπιεστή MP4.
Πρόβλημα με την αποσυσκευασία μορφής OGG (CVE-2019-14438) από προγραμματιστές VLC ως ανάγνωση από μια περιοχή έξω από το buffer (διαβάστε υπερχείλιση buffer), αλλά οι ερευνητές ασφαλείας εντόπισαν την ευπάθεια , το οποίο μπορεί να προκαλέσει υπερχείλιση εγγραφής και να προκαλέσει εκτέλεση κώδικα κατά την επεξεργασία αρχείων OGG, OGM και OPUS με ένα ειδικά σχεδιασμένο μπλοκ κεφαλίδας.
Υπάρχει επίσης ένα θέμα ευπάθειας (CVE-2019-14533) στο πρόγραμμα αποσυσκευασίας μορφής ASF, το οποίο σας επιτρέπει να γράψετε δεδομένα σε μια ήδη ελευθερωμένη περιοχή μνήμης και να επιτύχετε την εκτέλεση κώδικα όταν εκτελείτε μια λειτουργία κύλισης προς τα εμπρός ή προς τα πίσω στη γραμμή χρόνου κατά την αναπαραγωγή του WMV και Αρχεία WMA. Επιπλέον, στα προβλήματα CVE-2019-13602 (υπερχείλιση ακέραιου αριθμού) και CVE-2019-13962 (ανάγνωση από μια περιοχή εκτός του buffer) εκχωρείται ένα κρίσιμο επίπεδο κινδύνου (8.8 και 9.8), αλλά οι προγραμματιστές VLC δεν συμφωνούν και θεωρούν αυτά τα τρωτά σημεία μη επικίνδυνα (προτείνουν αλλαγή του επιπέδου σε 4.3).
Οι επιδιορθώσεις που δεν αφορούν την ασφάλεια περιλαμβάνουν τη διόρθωση του τραυλισμού κατά την παρακολούθηση βίντεο με χαμηλούς ρυθμούς καρέ, τη βελτίωση της υποστήριξης για προσαρμοστική ροή (βελτιωμένος κώδικας προσωρινής αποθήκευσης), την επίλυση προβλημάτων με την απόδοση υποτίτλων WebVTT, τη βελτίωση της παραγωγής ήχου σε πλατφόρμες macOS και iOS, ενημέρωση του σεναρίου για λήψη από το YouTube , Επίλυση προβλημάτων με την ενεργοποίηση του Direct3D11 για εφαρμογή επιτάχυνσης υλικού σε συστήματα με ορισμένα προγράμματα οδήγησης AMD.
Πηγή: opennet.ru