eliberarea corectă a playerului media , în care acumulat si eliminate , inclusiv trei probleme (CVE-2019-14970, CVE-2019-14777, CVE-2019-14533) la executarea codului unui atacator atunci când încearcă să reda fișiere multimedia special concepute în formatele MKV și ASF (depășire a memoriei tampon de scriere și două probleme cu accesarea memoriei după eliberarea acesteia).
Patru vulnerabilități în manipulatoarele de format OGG, AV1, FAAD, ASF sunt cauzate de capacitatea de a citi date din zonele de memorie din afara bufferului alocat. Trei probleme duc la dereferințe NULL pointer în dvdnav, ASF și despachetare format AVI. O vulnerabilitate permite depășirea unui număr întreg în decompresorul MP4.
Problemă cu dispozitivul de despachetare a formatului OGG (CVE-2019-14438) de către dezvoltatorii VLC ca citind dintr-o zonă din afara bufferului (read buffer overflow), dar cercetătorii de securitate au identificat vulnerabilitatea , care poate provoca depășirea scrisului și execuția codului la procesarea fișierelor OGG, OGM și OPUS cu un bloc de antet special conceput.
Există, de asemenea, o vulnerabilitate (CVE-2019-14533) în formatul de despachetare ASF, care vă permite să scrieți date într-o zonă de memorie deja eliberată și să realizați execuția codului atunci când efectuați o operație de defilare înainte sau înapoi pe cronologia în timpul redării WMV și Fișiere WMA. În plus, problemelor CVE-2019-13602 (depășire întreg) și CVE-2019-13962 (citire dintr-o zonă din afara tamponului) li se atribuie un nivel critic de pericol (8.8 și 9.8), dar dezvoltatorii VLC nu sunt de acord și consideră că aceste vulnerabilități nu sunt periculoase (propun schimbarea nivelului la 4.3).
Remedierile non-securitate includ remedierea bâlbâirii la vizionarea videoclipurilor la rate scăzute de cadre, îmbunătățirea suportului pentru streaming adaptiv (cod de tamponare îmbunătățit), rezolvarea problemelor de redare a subtitrărilor WebVTT, îmbunătățirea ieșirii audio pe platformele macOS și iOS, actualizarea scriptului pentru descărcare de pe Youtube , Rezolvarea problemelor legate de activarea Direct3D11 pentru a aplica accelerarea hardware pe sistemele cu unele drivere AMD.
Sursa: opennet.ru