Az OGG, AV1, FAAD, ASF formátumkezelők négy sérülékenységét az okozza, hogy a lefoglalt pufferen kívüli memóriaterületekről lehet adatokat olvasni. Három probléma vezet NULL mutatóhivatkozáshoz a dvdnav, ASF és AVI formátumú kicsomagolókban. Az egyik biztonsági rés egész szám túlcsordulást tesz lehetővé az MP4 kicsomagolóban.
Probléma az OGG formátumú kicsomagolóval (CVE-2019-14438)
Az ASF formátumú kicsomagolóban van egy sérülékenység is (CVE-2019-14533), amely lehetővé teszi, hogy adatokat írjon egy már felszabadult memóriaterületre, és kódvégrehajtást érjen el, amikor előre vagy hátra görgetést hajt végre az idővonalon WMV lejátszásakor és WMA fájlok. Ezenkívül a CVE-2019-13602 (egész szám túlcsordulás) és a CVE-2019-13962 (a pufferen kívüli területről történő olvasás) problémák kritikus veszélyszinttel (8.8 és 9.8) vannak hozzárendelve, de a VLC fejlesztői nem értenek egyet, és ezeket a sérülékenységeket nem tekintik veszélyesnek (a szintet 4.3-ra javasolják).
A nem biztonsági javítások közé tartozik az alacsony képkockasebesség melletti videók akadozásának kijavítása, az adaptív streaming támogatásának javítása (javított pufferkód), a WebVTT-feliratok renderelésével kapcsolatos problémák megoldása, a hangkimenet javítása macOS és iOS platformokon, a szkript frissítése a Youtube-ról való letöltéshez, A Direct3D11 hardveres gyorsításának engedélyezésével kapcsolatos problémák megoldása bizonyos AMD-illesztőprogramokkal rendelkező rendszereken.
Forrás: opennet.ru