version corrective du lecteur multimédia , dans lequel l'accumulation et éliminé , dont trois problèmes (CVE-2019-14970, CVE-2019-14777, CVE-2019-14533) à l'exécution du code d'un attaquant lors de la tentative de lecture de fichiers multimédia spécialement conçus aux formats MKV et ASF (débordement de tampon d'écriture et deux problèmes d'accès à la mémoire après sa libération).
Quatre vulnérabilités dans les gestionnaires de formats OGG, AV1, FAAD et ASF sont causées par la possibilité de lire des données depuis des zones de mémoire en dehors du tampon alloué. Trois problèmes conduisent à des déréférences de pointeurs NULL dans les décompresseurs aux formats dvdnav, ASF et AVI. Une vulnérabilité permet un débordement d'entier dans le décompresseur MP4.
Problème avec le décompresseur du format OGG (CVE-2019-14438) par les développeurs de VLC comme lisant depuis une zone en dehors du tampon (débordement de tampon de lecture), mais les chercheurs en sécurité ont identifié la vulnérabilité , ce qui peut provoquer un débordement d'écriture et provoquer l'exécution de code lors du traitement des fichiers OGG, OGM et OPUS avec un bloc d'en-tête spécialement conçu.
Il existe également une vulnérabilité (CVE-2019-14533) dans le décompresseur de format ASF, qui vous permet d'écrire des données dans une zone mémoire déjà libérée et d'exécuter du code lors d'une opération de défilement vers l'avant ou vers l'arrière sur la timeline pendant la lecture de WMV et Fichiers WMA. De plus, les problèmes CVE-2019-13602 (débordement d'entier) et CVE-2019-13962 (lecture depuis une zone en dehors du tampon) se voient attribuer un niveau de danger critique (8.8 et 9.8), mais les développeurs de VLC ne sont pas d'accord et considèrent ces vulnérabilités comme non dangereuses (ils proposent de changer le niveau à 4.3).
Les correctifs non liés à la sécurité incluent la correction du bégaiement lors du visionnage de vidéos à faible fréquence d'images, l'amélioration de la prise en charge du streaming adaptatif (code de mise en mémoire tampon amélioré), la résolution des problèmes de rendu des sous-titres WebVTT, l'amélioration de la sortie audio sur les plates-formes macOS et iOS, la mise à jour du script de téléchargement depuis Youtube, Résolution des problèmes liés à l'activation de Direct3D11 pour appliquer l'accélération matérielle sur les systèmes dotés de certains pilotes AMD.
Source: opennet.ru