OGG, AV1, FAAD, ASF ֆորմատի մշակիչներում չորս խոցելիություն առաջանում է հատկացված բուֆերից դուրս գտնվող հիշողության տարածքներից տվյալները կարդալու ունակությամբ: Երեք խնդիր հանգեցնում է NULL ցուցիչի մատնանշումների dvdnav, ASF և AVI ձևաչափերի ապափաթեթավորման սարքերում: Մեկ խոցելիությունը թույլ է տալիս ամբողջ թվի արտահոսք MP4 ապակոմպրեսորում:
Խնդիր OGG ձևաչափի ապափաթեթավորման հետ (CVE-2019-14438)
Կա նաև խոցելիություն (CVE-2019-14533) ASF ձևաչափի ապափաթեթավորման մեջ, որը թույլ է տալիս գրել տվյալներ արդեն ազատված հիշողության տարածքում և հասնել կոդի կատարման՝ WMV-ի նվագարկման ժամանակ ժամանակացույցի վրա ոլորման առաջ կամ հետընթաց գործողություն կատարելիս: WMA ֆայլեր. Բացի այդ, CVE-2019-13602 (ամբողջ թվերի արտահոսք) և CVE-2019-13962 (ընթերցում է բուֆերից դուրս գտնվող տարածքից) խնդիրներին վերագրվում է վտանգի կրիտիկական մակարդակ (8.8 և 9.8), սակայն VLC մշակողները համաձայն չեն և այս խոցելիությունները համարել ոչ վտանգավոր (նրանք առաջարկում են մակարդակը փոխել մինչև 4.3):
Ոչ անվտանգության ուղղումները ներառում են կակազության շտկումը տեսանյութեր ցածր կադրերի արագությամբ դիտելիս, հարմարվողական հոսքի աջակցության բարելավում (բարելավված բուֆերային կոդ), WebVTT ենթագրերի մատուցման հետ կապված խնդիրների լուծում, macOS և iOS հարթակներում աուդիո արտադրանքի բարելավում, Youtube-ից ներբեռնելու սցենարի թարմացում, Որոշ AMD դրայվեր ունեցող համակարգերի վրա ապարատային արագացում կիրառելու Direct3D11-ի հնարավորության հետ կապված խնդիրների լուծում:
Source: opennet.ru