korrigeeriv meediapleieri vabastamine , milles kogunenud ja kõrvaldatud , sealhulgas kolm probleemi (CVE-2019-14970, CVE-2019-14777, CVE-2019-14533) ründaja koodi käivitamine, kui proovite esitada spetsiaalselt loodud MKV- ja ASF-vormingus multimeediumifaile (kirjutuspuhvri ületäitumine ja kaks probleemi mälule juurdepääsul pärast selle vabastamist).
Neli OGG-, AV1-, FAAD- ja ASF-vormingu töötlejate haavatavust on põhjustatud võimalusest lugeda andmeid mälupiirkondadest väljaspool eraldatud puhvrit. Kolm probleemi viivad NULL-i viideteni dvdnav-, ASF- ja AVI-vormingus lahtipakkijates. Üks haavatavus võimaldab täisarvude ületäitumist MP4 dekompressoris.
Probleem OGG-vormingu lahtipakkijaga (CVE-2019-14438) VLC arendajad lugesid puhvrist väljastpoolt ala (lugemispuhvri ületäitumine), kuid turvateadlased tuvastasid haavatavuse , mis võib OGG-, OGM- ja OPUS-failide töötlemisel spetsiaalselt loodud päiseplokiga põhjustada kirjutamise ületäitumist ja koodi täitmist.
Samuti on ASF-vormingus lahtipakkija haavatavus (CVE-2019-14533), mis võimaldab kirjutada andmeid juba vabastatud mälupiirkonda ja saavutada koodi täitmine, kui sooritate ajateljel edasi- või tagasikerimise toimingut WMV ja WMV taasesituse ajal. WMA-failid. Lisaks on probleemidele CVE-2019-13602 (täisarvude ületäitumine) ja CVE-2019-13962 (lugemine väljaspool puhvrit asuvalt alalt) määratud kriitiline ohutase (8.8 ja 9.8), kuid VLC arendajad ei ole sellega nõus ja ei pea neid haavatavusi ohtlikeks (nad teevad ettepaneku muuta tase tasemele 4.3).
Turvalisusega mitteseotud parandused hõlmavad kogelemise parandamist madala kaadrisagedusega videote vaatamisel, adaptiivse voogesituse toe parandamist (täiustatud puhverduskood), WebVTT subtiitrite renderdamisega seotud probleemide lahendamist, heliväljundi parandamist macOS-i ja iOS-i platvormidel, skripti värskendamist Youtube'ist allalaadimiseks, Probleemide lahendamine Direct3D11-l riistvaralise kiirenduse rakendamise lubamisega süsteemides, millel on mõned AMD draiverid.
Allikas: opennet.ru