corrigerende release van de mediaspeler , waarin de geaccumuleerde en geëlimineerd , inclusief drie problemen (CVE-2019-14970, CVE-2019-14777, CVE-2019-14533) tot het uitvoeren van de code van een aanvaller bij het afspelen van speciaal ontworpen multimediabestanden in MKV- en ASF-formaten (schrijfbufferoverflow en twee problemen met toegang tot geheugen nadat dit is vrijgemaakt).
Vier kwetsbaarheden in de OGG-, AV1-, FAAD- en ASF-formaathandlers worden veroorzaakt door de mogelijkheid om gegevens te lezen uit geheugengebieden buiten de toegewezen buffer. Drie problemen leiden tot NULL pointer-dereferenties in dvdnav-, ASF- en AVI-formaatuitpakprogramma's. Eén kwetsbaarheid zorgt voor een overflow van gehele getallen in de MP4-decompressor.
Probleem met uitpakker van OGG-formaat (CVE-2019-14438) door VLC-ontwikkelaars als lezen vanuit een gebied buiten de buffer (lees bufferoverflow), maar beveiligingsonderzoekers hebben de kwetsbaarheid geïdentificeerd , wat schrijfoverflow kan veroorzaken en code-uitvoering kan veroorzaken bij het verwerken van OGG-, OGM- en OPUS-bestanden met een speciaal ontworpen headerblok.
Er is ook een kwetsbaarheid (CVE-2019-14533) in de uitpakker van het ASF-formaat, waardoor u gegevens naar een reeds vrijgemaakt geheugengebied kunt schrijven en code kunt uitvoeren wanneer u op de tijdlijn een voorwaartse of achterwaartse scrollbewerking uitvoert tijdens het afspelen van WMV en WMA-bestanden. Bovendien krijgen de problemen CVE-2019-13602 (integer overflow) en CVE-2019-13962 (lezen vanuit een gebied buiten de buffer) een kritiek niveau van gevaar toegewezen (8.8 en 9.8), maar de VLC-ontwikkelaars zijn het daar niet mee eens en beschouwen deze kwetsbaarheden als niet gevaarlijk (ze stellen voor het niveau te wijzigen naar 4.3).
Niet-beveiligingsoplossingen omvatten het oplossen van stotteren bij het bekijken van video's met lage framesnelheden, het verbeteren van de ondersteuning voor adaptieve streaming (verbeterde buffercode), het oplossen van problemen met het weergeven van WebVTT-ondertitels, het verbeteren van de audio-uitvoer op macOS- en iOS-platforms, het updaten van het script voor downloaden van YouTube, Problemen oplossen bij het inschakelen van Direct3D11 om hardwareversnelling toe te passen op systemen met bepaalde AMD-stuurprogramma's.
Bron: opennet.ru