Quattro vulnerabilità nei gestori dei formati OGG, AV1, FAAD e ASF sono causate dalla capacità di leggere dati da aree di memoria esterne al buffer allocato. Tre problemi portano a dereferenziamenti di puntatori NULL negli unpacker dei formati dvdnav, ASF e AVI. Una vulnerabilità consente un overflow di numeri interi nel decompressore MP4.
Problema con il decompressore del formato OGG (CVE-2019-14438)
Esiste anche una vulnerabilità (CVE-2019-14533) nell'unpacker del formato ASF, che consente di scrivere dati in un'area di memoria già liberata e ottenere l'esecuzione del codice quando si esegue un'operazione di scorrimento in avanti o all'indietro sulla timeline durante la riproduzione di WMV e file WMA. Inoltre, ai problemi CVE-2019-13602 (intero overflow) e CVE-2019-13962 (lettura da un'area esterna al buffer) viene assegnato un livello di pericolo critico (8.8 e 9.8), ma gli sviluppatori VLC non sono d'accordo e considerano queste vulnerabilità non pericolose (propongono di cambiare il livello a 4.3).
Le correzioni non legate alla sicurezza includono l'eliminazione dello stuttering durante la visione di video con frame rate bassi, il miglioramento del supporto per lo streaming adattivo (codice di buffering migliorato), la risoluzione dei problemi con il rendering dei sottotitoli WebVTT, il miglioramento dell'output audio su piattaforme macOS e iOS, l'aggiornamento dello script per il download da Youtube, Risoluzione dei problemi relativi all'abilitazione di Direct3D11 per applicare l'accelerazione hardware su sistemi con alcuni driver AMD.
Fonte: opennet.ru