korrigerande mediaspelare release , där den ackumulerade och elimineras , inklusive tre problem (CVE-2019-14970, CVE-2019-14777, CVE-2019-14533) till exekvering av en angripares kod när man försöker spela upp specialdesignade multimediafiler i MKV- och ASF-format (skrivbuffertspill och två problem med att komma åt minnet efter att det har frigjorts).
Fyra sårbarheter i formathanterarna OGG, AV1, FAAD, ASF orsakas av förmågan att läsa data från minnesområden utanför den tilldelade bufferten. Tre problem leder till NULL-pekarereferenser i dvdnav-, ASF- och AVI-formatuppackare. En sårbarhet tillåter ett heltalsspill i MP4-dekomprimeraren.
Problem med OGG-formatuppackare (CVE-2019-14438) av VLC-utvecklare som att läsa från ett område utanför bufferten (läs buffertspill), men säkerhetsforskare identifierade sårbarheten , vilket kan orsaka skrivspill och orsaka kodexekvering vid bearbetning av OGG-, OGM- och OPUS-filer med ett speciellt designat huvudblock.
Det finns också en sårbarhet (CVE-2019-14533) i ASF format unpacker, som gör att du kan skriva data till ett redan frigjort minnesområde och uppnå kodexekvering när du utför en rullning framåt eller bakåt på tidslinjen under uppspelning av WMV och WMA-filer. Dessutom tilldelas problemen CVE-2019-13602 (heltalsspill) och CVE-2019-13962 (avläsning från ett område utanför bufferten) en kritisk risknivå (8.8 och 9.8), men VLC-utvecklarna håller inte med och anser att dessa sårbarheter inte är farliga (de föreslår att nivån ändras till 4.3).
Icke-säkerhetskorrigeringar inkluderar åtgärdande av stamning när du tittar på videor med låga bildfrekvenser, förbättrat stöd för adaptiv strömning (förbättrad buffringskod), lösa problem med rendering av WebVTT-undertexter, förbättra ljudutgången på macOS- och iOS-plattformar, uppdatera skriptet för nedladdning från Youtube , Lösa problem med att aktivera Direct3D11 att tillämpa hårdvaruacceleration på system med vissa AMD-drivrutiner.
Källa: opennet.ru