lançamento corretivo do media player , em que o acumulado e eliminado , incluindo três problemas (CVE-2019-14970, CVE-2019-14777, CVE-2019-14533) à execução do código de um invasor ao tentar reproduzir arquivos multimídia especialmente projetados nos formatos MKV e ASF (estouro de buffer de gravação e dois problemas de acesso à memória após ela ser liberada).
Quatro vulnerabilidades nos manipuladores de formato OGG, AV1, FAAD e ASF são causadas pela capacidade de ler dados de áreas de memória fora do buffer alocado. Três problemas levam a desreferências de ponteiro NULL em descompactadores de formato dvdnav, ASF e AVI. Uma vulnerabilidade permite um estouro de número inteiro no descompressor MP4.
Problema com o descompactador de formato OGG (CVE-2019-14438) pelos desenvolvedores do VLC como leitura de uma área fora do buffer (leia buffer overflow), mas pesquisadores de segurança identificaram a vulnerabilidade , o que pode causar estouro de gravação e execução de código ao processar arquivos OGG, OGM e OPUS com um bloco de cabeçalho especialmente projetado.
Há também uma vulnerabilidade (CVE-2019-14533) no descompactador de formato ASF, que permite gravar dados em uma área de memória já liberada e obter execução de código ao executar uma operação de rolagem para frente ou para trás na linha do tempo durante a reprodução de WMV e Arquivos WMA. Além disso, os problemas CVE-2019-13602 (estouro de número inteiro) e CVE-2019-13962 (leitura de uma área fora do buffer) recebem um nível crítico de perigo (8.8 e 9.8), mas os desenvolvedores do VLC não concordam e consideram essas vulnerabilidades não perigosas (propõem alterar o nível para 4.3).
Correções não relacionadas à segurança incluem correção de travamentos ao assistir vídeos em baixas taxas de quadros, melhoria do suporte para streaming adaptativo (código de buffer aprimorado), resolução de problemas com renderização de legendas WebVTT, melhoria da saída de áudio em plataformas macOS e iOS, atualização do script para download do Youtube, Resolvendo problemas ao ativar o Direct3D11 para aplicar aceleração de hardware em sistemas com alguns drivers AMD.
Fonte: opennet.ru