a médialejátszó korrekciós kiadása , amelyben a felhalmozott és megszüntették , köztük három probléma (CVE-2019-14970, CVE-2019-14777, CVE-2019-14533) a támadó kódjának végrehajtására, amikor speciálisan kialakított MKV és ASF formátumú multimédiás fájlokat próbál lejátszani (írási puffer túlcsordulás és két probléma a memória elérésével annak felszabadítása után).
Az OGG, AV1, FAAD, ASF formátumkezelők négy sérülékenységét az okozza, hogy a lefoglalt pufferen kívüli memóriaterületekről lehet adatokat olvasni. Három probléma vezet NULL mutatóhivatkozáshoz a dvdnav, ASF és AVI formátumú kicsomagolókban. Az egyik biztonsági rés egész szám túlcsordulást tesz lehetővé az MP4 kicsomagolóban.
Probléma az OGG formátumú kicsomagolóval (CVE-2019-14438) a VLC fejlesztői a pufferen kívüli területről olvastak (puffer túlcsordulás), de a biztonsági kutatók azonosították a sebezhetőséget , amely írási túlcsordulást és kódvégrehajtást okozhat, amikor OGG, OGM és OPUS fájlokat dolgozunk fel speciálisan erre a célra kialakított fejlécblokkkal.
Az ASF formátumú kicsomagolóban van egy sérülékenység is (CVE-2019-14533), amely lehetővé teszi, hogy adatokat írjon egy már felszabadult memóriaterületre, és kódvégrehajtást érjen el, amikor előre vagy hátra görgetést hajt végre az idővonalon WMV lejátszásakor és WMA fájlok. Ezenkívül a CVE-2019-13602 (egész szám túlcsordulás) és a CVE-2019-13962 (a pufferen kívüli területről történő olvasás) problémák kritikus veszélyszinttel (8.8 és 9.8) vannak hozzárendelve, de a VLC fejlesztői nem értenek egyet, és ezeket a sérülékenységeket nem tekintik veszélyesnek (a szintet 4.3-ra javasolják).
A nem biztonsági javítások közé tartozik az alacsony képkockasebesség melletti videók akadozásának kijavítása, az adaptív streaming támogatásának javítása (javított pufferkód), a WebVTT-feliratok renderelésével kapcsolatos problémák megoldása, a hangkimenet javítása macOS és iOS platformokon, a szkript frissítése a Youtube-ról való letöltéshez, A Direct3D11 hardveres gyorsításának engedélyezésével kapcsolatos problémák megoldása bizonyos AMD-illesztőprogramokkal rendelkező rendszereken.
Forrás: opennet.ru