rilis pemutar media korektif , di mana akumulasi dan dihilangkan , termasuk tiga masalah (CVE-2019-14970, CVE-2019-14777, CVE-2019-14533) untuk mengeksekusi kode penyerang ketika mencoba memutar file multimedia yang dirancang khusus dalam format MKV dan ASF (tulis buffer overflow dan dua masalah dengan mengakses memori setelah dibebaskan).
Empat kerentanan pada penangan format OGG, AV1, FAAD, ASF disebabkan oleh kemampuan membaca data dari area memori di luar buffer yang dialokasikan. Tiga masalah menyebabkan dereferensi penunjuk NULL di pembongkar format dvdnav, ASF dan AVI. Satu kerentanan memungkinkan terjadinya integer overflow di dekompresor MP4.
Masalah dengan pembongkar format OGG (CVE-2019-14438) oleh pengembang VLC sebagai pembacaan dari area di luar buffer (baca buffer overflow), namun peneliti keamanan mengidentifikasi kerentanannya , yang dapat menyebabkan write overflow dan menyebabkan eksekusi kode saat memproses file OGG, OGM, dan OPUS dengan blok header yang dirancang khusus.
Ada juga kerentanan (CVE-2019-14533) dalam format ASF unpacker, yang memungkinkan Anda menulis data ke area memori yang sudah dibebaskan dan mencapai eksekusi kode saat melakukan operasi gulir maju atau mundur pada timeline selama pemutaran WMV dan file WMA. Selain itu, masalah CVE-2019-13602 (integer overflow) dan CVE-2019-13962 (membaca dari area di luar buffer) ditetapkan pada tingkat bahaya kritis (8.8 dan 9.8), namun pengembang VLC tidak setuju dan menganggap kerentanan ini tidak berbahaya (mereka mengusulkan untuk mengubah level ke 4.3).
Perbaikan non-keamanan termasuk memperbaiki kegagapan saat menonton video pada frame rate rendah, meningkatkan dukungan untuk streaming adaptif (peningkatan kode buffering), menyelesaikan masalah dengan rendering subtitle WebVTT, meningkatkan output audio pada platform macOS dan iOS, memperbarui skrip untuk mengunduh dari Youtube. Menyelesaikan masalah dengan mengaktifkan Direct3D11 untuk menerapkan akselerasi perangkat keras pada sistem dengan beberapa driver AMD.
Sumber: opennet.ru