Vier kwetsbaarheden in de OGG-, AV1-, FAAD- en ASF-formaathandlers worden veroorzaakt door de mogelijkheid om gegevens te lezen uit geheugengebieden buiten de toegewezen buffer. Drie problemen leiden tot NULL pointer-dereferenties in dvdnav-, ASF- en AVI-formaatuitpakprogramma's. Eén kwetsbaarheid zorgt voor een overflow van gehele getallen in de MP4-decompressor.
Probleem met uitpakker van OGG-formaat (CVE-2019-14438)
Er is ook een kwetsbaarheid (CVE-2019-14533) in de uitpakker van het ASF-formaat, waardoor u gegevens naar een reeds vrijgemaakt geheugengebied kunt schrijven en code kunt uitvoeren wanneer u op de tijdlijn een voorwaartse of achterwaartse scrollbewerking uitvoert tijdens het afspelen van WMV en WMA-bestanden. Bovendien krijgen de problemen CVE-2019-13602 (integer overflow) en CVE-2019-13962 (lezen vanuit een gebied buiten de buffer) een kritiek niveau van gevaar toegewezen (8.8 en 9.8), maar de VLC-ontwikkelaars zijn het daar niet mee eens en beschouwen deze kwetsbaarheden als niet gevaarlijk (ze stellen voor het niveau te wijzigen naar 4.3).
Niet-beveiligingsoplossingen omvatten het oplossen van stotteren bij het bekijken van video's met lage framesnelheden, het verbeteren van de ondersteuning voor adaptieve streaming (verbeterde buffercode), het oplossen van problemen met het weergeven van WebVTT-ondertitels, het verbeteren van de audio-uitvoer op macOS- en iOS-platforms, het updaten van het script voor downloaden van YouTube, Problemen oplossen bij het inschakelen van Direct3D11 om hardwareversnelling toe te passen op systemen met bepaalde AMD-stuurprogramma's.
Bron: opennet.ru