корективно издање медија плејера , у којој се акумулира и елиминисан , среди которых три проблемы (CVE-2019-14970, CVE-2019-14777, CVE-2019-14533) до извршења кода нападача при покушају репродукције посебно дизајнираних мултимедијалних датотека у МКВ и АСФ форматима (преливање бафера за писање и два проблема са приступом меморији након њеног ослобађања).
Четири рањивости у обрађивачима формата ОГГ, АВ1, ФААД, АСФ узроковане су могућношћу читања података из меморијских подручја изван додељеног бафера. Три проблема доводе до дереференцирања НУЛЛ показивача у распакивачима двднав, АСФ и АВИ формата. Једна рањивост омогућава преливање целог броја у МП4 декомпресору.
Проблем са алатом за распакивање ОГГ формата (ЦВЕ-2019-14438) разработчиками VLC как чтение из области вне буфера (read buffer overflow), но выявившие уязвимость исследователи безопасности , што може да изазове преливање писања и да изазове извршавање кода приликом обраде ОГГ, ОГМ и ОПУС датотека са посебно дизајнираним блоком заглавља.
Такође постоји рањивост (ЦВЕ-2019-14533) у распакивачу формата АСФ, која вам омогућава да упишете податке у већ ослобођену меморијску област и постигнете извршење кода када вршите операцију померања унапред или уназад на временској линији током репродукције ВМВ и ВМА датотеке. Поред тога, проблемима ЦВЕ-2019-13602 (преливање целог броја) и ЦВЕ-2019-13962 (читање из области изван бафера) је додељен критични ниво опасности (8.8 и 9.8), али ВЛЦ програмери се не слажу и сматрају ове рањивости неопасним (предлажу промену нивоа на 4.3).
Несигурносне исправке укључују исправљање застоја приликом гледања видео записа при малој брзини кадрова, побољшање подршке за адаптивно стримовање (побољшани код за баферовање), решавање проблема са приказивањем ВебВТТ титлова, побољшање аудио излаза на мацОС и иОС платформама, ажурирање скрипте за преузимање са Иоутубе-а, Решавање проблема са омогућавањем Дирецт3Д11 да примени хардверско убрзање на системима са неким АМД драјверима.
Извор: опеннет.ру