Catro vulnerabilidades nos controladores de formato OGG, AV1, FAAD e ASF son causadas pola capacidade de ler datos de áreas de memoria fóra do búfer asignado. Tres problemas levan a desreferencias de punteiro NULL nos descomprimidores de formatos dvdnav, ASF e AVI. Unha vulnerabilidade permite un desbordamento de números enteiros no descompresor MP4.
Problema co desempaquetado do formato OGG (CVE-2019-14438)
Tamén hai unha vulnerabilidade (CVE-2019-14533) no descomprimidor de formato ASF, que permite escribir datos nunha área de memoria xa liberada e conseguir a execución de código ao realizar unha operación de desprazamento cara adiante ou cara atrás na liña de tempo durante a reprodución de WMV e Arquivos WMA. Ademais, aos problemas CVE-2019-13602 (desbordamento de enteiros) e CVE-2019-13962 (lectura desde unha zona fóra do búfer) asígnaselles un nivel crítico de perigo (8.8 e 9.8), pero os desenvolvedores de VLC non están de acordo e consideran que estas vulnerabilidades non son perigosas (propoñen cambiar o nivel a 4.3).
As correccións non relacionadas coa seguridade inclúen corrixir o tartamudeo ao ver vídeos a baixas velocidades de fotogramas, mellorar a compatibilidade coa transmisión adaptativa (código de almacenamento en búfer mellorado), resolver problemas coa renderización de subtítulos WebVTT, mellorar a saída de audio en plataformas macOS e iOS, actualizar o script para descargar desde Youtube , Resolvendo problemas coa habilitación de Direct3D11 para aplicar a aceleración de hardware en sistemas con algúns controladores AMD.
Fonte: opennet.ru