Quatro vulnerabilidades nos manipuladores de formato OGG, AV1, FAAD e ASF são causadas pela capacidade de ler dados de áreas de memória fora do buffer alocado. Três problemas levam a desreferências de ponteiro NULL em descompactadores de formato dvdnav, ASF e AVI. Uma vulnerabilidade permite um estouro de número inteiro no descompressor MP4.
Problema com o descompactador de formato OGG (CVE-2019-14438)
Há também uma vulnerabilidade (CVE-2019-14533) no descompactador de formato ASF, que permite gravar dados em uma área de memória já liberada e obter execução de código ao executar uma operação de rolagem para frente ou para trás na linha do tempo durante a reprodução de WMV e Arquivos WMA. Além disso, os problemas CVE-2019-13602 (estouro de número inteiro) e CVE-2019-13962 (leitura de uma área fora do buffer) recebem um nível crítico de perigo (8.8 e 9.8), mas os desenvolvedores do VLC não concordam e consideram essas vulnerabilidades não perigosas (propõem alterar o nível para 4.3).
Correções não relacionadas à segurança incluem correção de travamentos ao assistir vídeos em baixas taxas de quadros, melhoria do suporte para streaming adaptativo (código de buffer aprimorado), resolução de problemas com renderização de legendas WebVTT, melhoria da saída de áudio em plataformas macOS e iOS, atualização do script para download do Youtube, Resolvendo problemas ao ativar o Direct3D11 para aplicar aceleração de hardware em sistemas com alguns drivers AMD.
Fonte: opennet.ru