Cztery luki w obsłudze formatów OGG, AV1, FAAD, ASF spowodowane są możliwością odczytu danych z obszarów pamięci poza przydzielonym buforem. Trzy problemy prowadzą do dereferencji wskaźnika NULL w programach rozpakowujących formaty DVDnav, ASF i AVI. Jedna luka pozwala na przepełnienie liczb całkowitych w dekompresorze MP4.
Problem z narzędziem do rozpakowywania formatu OGG (CVE-2019-14438)
Istnieje również luka (CVE-2019-14533) w rozpakowywaczu formatu ASF, która umożliwia zapisanie danych w już zwolnionym obszarze pamięci i wykonanie kodu podczas wykonywania operacji przewijania do przodu lub do tyłu na osi czasu podczas odtwarzania plików WMV i pliki WMA. Ponadto problemom CVE-2019-13602 (przepełnienie liczb całkowitych) i CVE-2019-13962 (odczyt z obszaru poza buforem) przypisano krytyczny poziom zagrożenia (8.8 i 9.8), ale twórcy VLC nie zgadzają się i uważają te luki za niegroźne (proponują zmianę poziomu na 4.3).
Poprawki niezwiązane z bezpieczeństwem obejmują naprawę zacinania się podczas oglądania filmów przy niskiej liczbie klatek na sekundę, poprawę obsługi adaptacyjnego przesyłania strumieniowego (ulepszony kod buforowania), rozwiązywanie problemów z renderowaniem napisów WebVTT, poprawę wyjścia audio na platformach macOS i iOS, aktualizację skryptu do pobierania z Youtube, Rozwiązywanie problemów z umożliwieniem Direct3D11 stosowania akceleracji sprzętowej w systemach z niektórymi sterownikami AMD.
Źródło: opennet.ru