Cuatro vulnerabilidades en los controladores de formato OGG, AV1, FAAD y ASF se deben a la capacidad de leer datos de áreas de memoria fuera del búfer asignado. Tres problemas conducen a desreferencias de puntero NULL en los desempaquetadores de formato dvdnav, ASF y AVI. Una vulnerabilidad permite un desbordamiento de números enteros en el descompresor MP4.
Problema con el desempaquetador de formato OGG (CVE-2019-14438)
También existe una vulnerabilidad (CVE-2019-14533) en el desempaquetador del formato ASF, que le permite escribir datos en un área de memoria ya liberada y lograr la ejecución del código al realizar una operación de desplazamiento hacia adelante o hacia atrás en la línea de tiempo durante la reproducción de WMV y Archivos WMA. Además, a los problemas CVE-2019-13602 (desbordamiento de enteros) y CVE-2019-13962 (lectura desde un área fuera del búfer) se les asigna un nivel crítico de peligro (8.8 y 9.8), pero los desarrolladores de VLC no están de acuerdo y consideran que estas vulnerabilidades no son peligrosas (proponen cambiar el nivel a 4.3).
Las correcciones no relacionadas con la seguridad incluyen corregir la tartamudez al mirar videos a velocidades de cuadro bajas, mejorar la compatibilidad con la transmisión adaptativa (código de almacenamiento en búfer mejorado), resolver problemas con la representación de subtítulos WebVTT, mejorar la salida de audio en plataformas macOS e iOS, actualizar el script para descargar desde Youtube. Resolver problemas al habilitar Direct3D11 para aplicar aceleración de hardware en sistemas con algunos controladores AMD.
Fuente: opennet.ru