lanzamiento correctivo del reproductor multimedia , en el que el acumulado y eliminado , incluidos tres problemas (CVE-2019-14970, CVE-2019-14777, CVE-2019-14533) a la ejecución del código de un atacante al intentar reproducir archivos multimedia especialmente diseñados en formatos MKV y ASF (desbordamiento del búfer de escritura y dos problemas con el acceso a la memoria una vez liberada).
Cuatro vulnerabilidades en los controladores de formato OGG, AV1, FAAD y ASF se deben a la capacidad de leer datos de áreas de memoria fuera del búfer asignado. Tres problemas conducen a desreferencias de puntero NULL en los desempaquetadores de formato dvdnav, ASF y AVI. Una vulnerabilidad permite un desbordamiento de números enteros en el descompresor MP4.
Problema con el desempaquetador de formato OGG (CVE-2019-14438) por los desarrolladores de VLC como lectura desde un área fuera del búfer (desbordamiento del búfer de lectura), pero los investigadores de seguridad identificaron la vulnerabilidad , lo que puede provocar un desbordamiento de escritura y provocar la ejecución de código al procesar archivos OGG, OGM y OPUS con un bloque de encabezado especialmente diseñado.
También existe una vulnerabilidad (CVE-2019-14533) en el desempaquetador del formato ASF, que le permite escribir datos en un área de memoria ya liberada y lograr la ejecución del código al realizar una operación de desplazamiento hacia adelante o hacia atrás en la línea de tiempo durante la reproducción de WMV y Archivos WMA. Además, a los problemas CVE-2019-13602 (desbordamiento de enteros) y CVE-2019-13962 (lectura desde un área fuera del búfer) se les asigna un nivel crítico de peligro (8.8 y 9.8), pero los desarrolladores de VLC no están de acuerdo y consideran que estas vulnerabilidades no son peligrosas (proponen cambiar el nivel a 4.3).
Las correcciones no relacionadas con la seguridad incluyen corregir la tartamudez al mirar videos a velocidades de cuadro bajas, mejorar la compatibilidad con la transmisión adaptativa (código de almacenamiento en búfer mejorado), resolver problemas con la representación de subtítulos WebVTT, mejorar la salida de audio en plataformas macOS e iOS, actualizar el script para descargar desde Youtube. Resolver problemas al habilitar Direct3D11 para aplicar aceleración de hardware en sistemas con algunos controladores AMD.
Fuente: opennet.ru