wydanie korygujące odtwarzacza multimedialnego , w którym zgromadzono i wyeliminowane , w tym trzy problemy (CVE-2019-14970, CVE-2019-14777, CVE-2019-14533) na wykonanie kodu atakującego przy próbie odtworzenia specjalnie zaprojektowanych plików multimedialnych w formatach MKV i ASF (przepełnienie bufora zapisu i dwa problemy z dostępem do pamięci po jej zwolnieniu).
Cztery luki w obsłudze formatów OGG, AV1, FAAD, ASF spowodowane są możliwością odczytu danych z obszarów pamięci poza przydzielonym buforem. Trzy problemy prowadzą do dereferencji wskaźnika NULL w programach rozpakowujących formaty DVDnav, ASF i AVI. Jedna luka pozwala na przepełnienie liczb całkowitych w dekompresorze MP4.
Problem z narzędziem do rozpakowywania formatu OGG (CVE-2019-14438) przez programistów VLC jako odczyt z obszaru poza buforem (przepełnienie bufora odczytu), ale badacze bezpieczeństwa zidentyfikowali tę lukę , co może spowodować przepełnienie zapisu i wykonanie kodu podczas przetwarzania plików OGG, OGM i OPUS ze specjalnie zaprojektowanym blokiem nagłówka.
Istnieje również luka (CVE-2019-14533) w rozpakowywaczu formatu ASF, która umożliwia zapisanie danych w już zwolnionym obszarze pamięci i wykonanie kodu podczas wykonywania operacji przewijania do przodu lub do tyłu na osi czasu podczas odtwarzania plików WMV i pliki WMA. Ponadto problemom CVE-2019-13602 (przepełnienie liczb całkowitych) i CVE-2019-13962 (odczyt z obszaru poza buforem) przypisano krytyczny poziom zagrożenia (8.8 i 9.8), ale twórcy VLC nie zgadzają się i uważają te luki za niegroźne (proponują zmianę poziomu na 4.3).
Poprawki niezwiązane z bezpieczeństwem obejmują naprawę zacinania się podczas oglądania filmów przy niskiej liczbie klatek na sekundę, poprawę obsługi adaptacyjnego przesyłania strumieniowego (ulepszony kod buforowania), rozwiązywanie problemów z renderowaniem napisów WebVTT, poprawę wyjścia audio na platformach macOS i iOS, aktualizację skryptu do pobierania z Youtube, Rozwiązywanie problemów z umożliwieniem Direct3D11 stosowania akceleracji sprzętowej w systemach z niektórymi sterownikami AMD.
Źródło: opennet.ru