ช่องโหว่สี่จุดในตัวจัดการรูปแบบ OGG, AV1, FAAD, ASF เกิดจากความสามารถในการอ่านข้อมูลจากพื้นที่หน่วยความจำนอกบัฟเฟอร์ที่จัดสรร ปัญหาสามประการที่นำไปสู่การยกเลิกการอ้างอิงตัวชี้ NULL ในรูปแบบ dvdnav, ASF และ AVI ช่องโหว่ประการหนึ่งทำให้เกิดจำนวนเต็มล้นในตัวขยายการบีบอัด MP4
ปัญหากับตัวแตกไฟล์รูปแบบ OGG (CVE-2019-14438)
นอกจากนี้ยังมีช่องโหว่ (CVE-2019-14533) ในตัวแตกไฟล์รูปแบบ ASF ซึ่งช่วยให้คุณสามารถเขียนข้อมูลลงในพื้นที่หน่วยความจำที่ว่างแล้วและบรรลุการเรียกใช้โค้ดเมื่อดำเนินการเลื่อนไปข้างหน้าหรือย้อนกลับบนไทม์ไลน์ระหว่างการเล่น WMV และ ไฟล์ WMA นอกจากนี้ ปัญหา CVE-2019-13602 (จำนวนเต็มล้น) และ CVE-2019-13962 (การอ่านจากพื้นที่นอกบัฟเฟอร์) ได้รับการกำหนดระดับอันตรายวิกฤต (8.8 และ 9.8) แต่ผู้พัฒนา VLC ไม่เห็นด้วยและ พิจารณาว่าช่องโหว่เหล่านี้ไม่เป็นอันตราย (พวกเขาเสนอให้เปลี่ยนระดับเป็น 4.3)
การแก้ไขที่ไม่เกี่ยวกับความปลอดภัย ได้แก่ การแก้ไขอาการกระตุกเมื่อดูวิดีโอที่อัตราเฟรมต่ำ การปรับปรุงการรองรับการสตรีมแบบปรับตัว (โค้ดบัฟเฟอร์ที่ได้รับการปรับปรุง) การแก้ปัญหาเกี่ยวกับการแสดงคำบรรยาย WebVTT การปรับปรุงเอาต์พุตเสียงบนแพลตฟอร์ม macOS และ iOS การอัปเดตสคริปต์สำหรับการดาวน์โหลดจาก Youtube การแก้ไขปัญหาด้วยการเปิดใช้งาน Direct3D11 เพื่อใช้การเร่งด้วยฮาร์ดแวร์บนระบบที่มีไดรเวอร์ AMD บางตัว
ที่มา: opennet.ru