multivides atskaņotāja koriģējošais izlaidums , kurā uzkrātais un likvidēts , tostarp trīs problēmas (CVE-2019-14970, CVE-2019-14777, CVE-2019-14533) uz uzbrucēja koda izpildi, mēģinot atskaņot īpaši izstrādātus multivides failus MKV un ASF formātos (rakstīšanas bufera pārpilde un divas problēmas ar piekļuvi atmiņai pēc tās atbrīvošanas).
Četras ievainojamības OGG, AV1, FAAD, ASF formāta apdarinātājos izraisa iespēja nolasīt datus no atmiņas apgabaliem ārpus piešķirtā bufera. Trīs problēmas noved pie NULL rādītāja norādes dvdnav, ASF un AVI formāta atsaiņošanas ierīcēs. Viena ievainojamība pieļauj veselu skaitļu pārplūdi MP4 dekompresorā.
Problēma ar OGG formāta atpakotāju (CVE-2019-14438) VLC izstrādātāji nolasīja no apgabala ārpus bufera (lasīšanas bufera pārpilde), taču drošības pētnieki atklāja ievainojamību , kas var izraisīt rakstīšanas pārplūdi un izraisīt koda izpildi, apstrādājot OGG, OGM un OPUS failus ar īpaši izstrādātu galvenes bloku.
ASF formāta atsaiņotājā ir arī ievainojamība (CVE-2019-14533), kas ļauj ierakstīt datus jau atbrīvotā atmiņas apgabalā un panākt koda izpildi, veicot ritināšanas darbību uz priekšu vai atpakaļ laika skalā WMV atskaņošanas laikā un WMA faili. Turklāt problēmām CVE-2019-13602 (vesela skaitļa pārpilde) un CVE-2019-13962 (nolasīšana no apgabala ārpus bufera) ir piešķirts kritiskais bīstamības līmenis (8.8 un 9.8), taču VLC izstrādātāji tam nepiekrīt un uzskata, ka šīs ievainojamības nav bīstamas (tie ierosina mainīt līmeni uz 4.3).
Ar drošību nesaistīti labojumi ietver stostīšanās novēršanu, skatoties videoklipus ar zemu kadru nomaiņas ātrumu, adaptīvās straumēšanas atbalsta uzlabošanu (uzlabots buferizācijas kods), WebVTT subtitru renderēšanas problēmu atrisināšanu, audio izvades uzlabošanu macOS un iOS platformās, skripta atjaunināšanu lejupielādei no Youtube , Problēmu risināšana, iespējojot Direct3D11 lietot aparatūras paātrinājumu sistēmās ar dažiem AMD draiveriem.
Avots: opennet.ru