Neli OGG-, AV1-, FAAD- ja ASF-vormingu töötlejate haavatavust on põhjustatud võimalusest lugeda andmeid mälupiirkondadest väljaspool eraldatud puhvrit. Kolm probleemi viivad NULL-i viideteni dvdnav-, ASF- ja AVI-vormingus lahtipakkijates. Üks haavatavus võimaldab täisarvude ületäitumist MP4 dekompressoris.
Probleem OGG-vormingu lahtipakkijaga (CVE-2019-14438)
Samuti on ASF-vormingus lahtipakkija haavatavus (CVE-2019-14533), mis võimaldab kirjutada andmeid juba vabastatud mälupiirkonda ja saavutada koodi täitmine, kui sooritate ajateljel edasi- või tagasikerimise toimingut WMV ja WMV taasesituse ajal. WMA-failid. Lisaks on probleemidele CVE-2019-13602 (täisarvude ületäitumine) ja CVE-2019-13962 (lugemine väljaspool puhvrit asuvalt alalt) määratud kriitiline ohutase (8.8 ja 9.8), kuid VLC arendajad ei ole sellega nõus ja ei pea neid haavatavusi ohtlikeks (nad teevad ettepaneku muuta tase tasemele 4.3).
Turvalisusega mitteseotud parandused hõlmavad kogelemise parandamist madala kaadrisagedusega videote vaatamisel, adaptiivse voogesituse toe parandamist (täiustatud puhverduskood), WebVTT subtiitrite renderdamisega seotud probleemide lahendamist, heliväljundi parandamist macOS-i ja iOS-i platvormidel, skripti värskendamist Youtube'ist allalaadimiseks, Probleemide lahendamine Direct3D11-l riistvaralise kiirenduse rakendamise lubamisega süsteemides, millel on mõned AMD draiverid.
Allikas: opennet.ru