versione correttiva del lettore multimediale , in cui l'accumulato ed eliminato , inclusi tre problemi (CVE-2019-14970, CVE-2019-14777, CVE-2019-14533) all'esecuzione del codice di un utente malintenzionato durante il tentativo di riprodurre file multimediali appositamente progettati nei formati MKV e ASF (overflow del buffer di scrittura e due problemi con l'accesso alla memoria dopo che è stata liberata).
Quattro vulnerabilità nei gestori dei formati OGG, AV1, FAAD e ASF sono causate dalla capacità di leggere dati da aree di memoria esterne al buffer allocato. Tre problemi portano a dereferenziamenti di puntatori NULL negli unpacker dei formati dvdnav, ASF e AVI. Una vulnerabilità consente un overflow di numeri interi nel decompressore MP4.
Problema con il decompressore del formato OGG (CVE-2019-14438) dagli sviluppatori VLC come lettura da un'area esterna al buffer (lettura buffer overflow), ma i ricercatori della sicurezza hanno identificato la vulnerabilità , che può causare overflow di scrittura e causare l'esecuzione di codice durante l'elaborazione di file OGG, OGM e OPUS con un blocco di intestazione appositamente progettato.
Esiste anche una vulnerabilità (CVE-2019-14533) nell'unpacker del formato ASF, che consente di scrivere dati in un'area di memoria già liberata e ottenere l'esecuzione del codice quando si esegue un'operazione di scorrimento in avanti o all'indietro sulla timeline durante la riproduzione di WMV e file WMA. Inoltre, ai problemi CVE-2019-13602 (intero overflow) e CVE-2019-13962 (lettura da un'area esterna al buffer) viene assegnato un livello di pericolo critico (8.8 e 9.8), ma gli sviluppatori VLC non sono d'accordo e considerano queste vulnerabilità non pericolose (propongono di cambiare il livello a 4.3).
Le correzioni non legate alla sicurezza includono l'eliminazione dello stuttering durante la visione di video con frame rate bassi, il miglioramento del supporto per lo streaming adattivo (codice di buffering migliorato), la risoluzione dei problemi con il rendering dei sottotitoli WebVTT, il miglioramento dell'output audio su piattaforme macOS e iOS, l'aggiornamento dello script per il download da Youtube, Risoluzione dei problemi relativi all'abilitazione di Direct3D11 per applicare l'accelerazione hardware su sistemi con alcuni driver AMD.
Fonte: opennet.ru