Τέσσερα τρωτά σημεία στους χειριστές μορφής OGG, AV1, FAAD, ASF προκαλούνται από τη δυνατότητα ανάγνωσης δεδομένων από περιοχές μνήμης εκτός του εκχωρημένου buffer. Τρία προβλήματα οδηγούν σε παραπομπές δείκτη NULL σε αποσυμπιεστές μορφών dvdnav, ASF και AVI. Μια ευπάθεια επιτρέπει μια υπερχείλιση ακέραιου αριθμού στον αποσυμπιεστή MP4.
Πρόβλημα με την αποσυσκευασία μορφής OGG (CVE-2019-14438)
Υπάρχει επίσης ένα θέμα ευπάθειας (CVE-2019-14533) στο πρόγραμμα αποσυσκευασίας μορφής ASF, το οποίο σας επιτρέπει να γράψετε δεδομένα σε μια ήδη ελευθερωμένη περιοχή μνήμης και να επιτύχετε την εκτέλεση κώδικα όταν εκτελείτε μια λειτουργία κύλισης προς τα εμπρός ή προς τα πίσω στη γραμμή χρόνου κατά την αναπαραγωγή του WMV και Αρχεία WMA. Επιπλέον, στα προβλήματα CVE-2019-13602 (υπερχείλιση ακέραιου αριθμού) και CVE-2019-13962 (ανάγνωση από μια περιοχή εκτός του buffer) εκχωρείται ένα κρίσιμο επίπεδο κινδύνου (8.8 και 9.8), αλλά οι προγραμματιστές VLC δεν συμφωνούν και θεωρούν αυτά τα τρωτά σημεία μη επικίνδυνα (προτείνουν αλλαγή του επιπέδου σε 4.3).
Οι επιδιορθώσεις που δεν αφορούν την ασφάλεια περιλαμβάνουν τη διόρθωση του τραυλισμού κατά την παρακολούθηση βίντεο με χαμηλούς ρυθμούς καρέ, τη βελτίωση της υποστήριξης για προσαρμοστική ροή (βελτιωμένος κώδικας προσωρινής αποθήκευσης), την επίλυση προβλημάτων με την απόδοση υποτίτλων WebVTT, τη βελτίωση της παραγωγής ήχου σε πλατφόρμες macOS και iOS, ενημέρωση του σεναρίου για λήψη από το YouTube , Επίλυση προβλημάτων με την ενεργοποίηση του Direct3D11 για εφαρμογή επιτάχυνσης υλικού σε συστήματα με ορισμένα προγράμματα οδήγησης AMD.
Πηγή: opennet.ru