versión correctiva do reprodutor multimedia , no que o acumulado e eliminado , incluíndo tres problemas (CVE-2019-14970, CVE-2019-14777, CVE-2019-14533) á execución do código dun atacante ao tentar reproducir ficheiros multimedia especialmente deseñados en formatos MKV e ASF (desbordamento do búfer de escritura e dous problemas para acceder á memoria despois de liberarse).
Catro vulnerabilidades nos controladores de formato OGG, AV1, FAAD e ASF son causadas pola capacidade de ler datos de áreas de memoria fóra do búfer asignado. Tres problemas levan a desreferencias de punteiro NULL nos descomprimidores de formatos dvdnav, ASF e AVI. Unha vulnerabilidade permite un desbordamento de números enteiros no descompresor MP4.
Problema co desempaquetado do formato OGG (CVE-2019-14438) polos desenvolvedores de VLC como lectura dunha área fóra do búfer (desbordamento do búfer de lectura), pero os investigadores de seguridade identificaron a vulnerabilidade , o que pode provocar un desbordamento da escritura e a execución de código ao procesar ficheiros OGG, OGM e OPUS cun bloque de cabeceira especialmente deseñado.
Tamén hai unha vulnerabilidade (CVE-2019-14533) no descomprimidor de formato ASF, que permite escribir datos nunha área de memoria xa liberada e conseguir a execución de código ao realizar unha operación de desprazamento cara adiante ou cara atrás na liña de tempo durante a reprodución de WMV e Arquivos WMA. Ademais, aos problemas CVE-2019-13602 (desbordamento de enteiros) e CVE-2019-13962 (lectura desde unha zona fóra do búfer) asígnaselles un nivel crítico de perigo (8.8 e 9.8), pero os desenvolvedores de VLC non están de acordo e consideran que estas vulnerabilidades non son perigosas (propoñen cambiar o nivel a 4.3).
As correccións non relacionadas coa seguridade inclúen corrixir o tartamudeo ao ver vídeos a baixas velocidades de fotogramas, mellorar a compatibilidade coa transmisión adaptativa (código de almacenamento en búfer mellorado), resolver problemas coa renderización de subtítulos WebVTT, mellorar a saída de audio en plataformas macOS e iOS, actualizar o script para descargar desde Youtube , Resolvendo problemas coa habilitación de Direct3D11 para aplicar a aceleración de hardware en sistemas con algúns controladores AMD.
Fonte: opennet.ru