Чотири вразливості в обробниках форматів OGG, AV1, FAAD, ASF викликані можливістю читання даних із областей пам'яті поза виділеним буфером. Три проблеми призводять до розіменування покажчика NULL в розпакувальниках форматів dddnav, ASF і AVI. Одна вразливість дозволяє досягти цілого переповнення в розпакувальнику MP4.
Проблема в розпаковувачі формату OGG (CVE-2019-14438)
Відзначається також вразливість (CVE-2019-14533) у розпакувальнику формату ASF, яка дозволяє записати дані у вже звільнену область пам'яті та досягти виконання коду під час операції прокручування вперед або назад на шкалі часу в процесі відтворення файлів WMV та WMA. Крім того, проблемам CVE-2019-13602 (цілочисленне переповнення) та CVE-2019-13962 (читання з області поза буфером) присвоєно критичний рівень небезпеки (8.8 та 9.8), але розробники VLC не згодні і вважають дані вразливості безпечними (пропонують зміни) на 4.3).
З не пов'язаних з безпекою виправлень виділяються усунення заїкуватості під час перегляду відео з низькою частотою кадрів, покращення підтримки адаптивного потокового мовлення (покращено код буферизації), вирішення проблем з відображенням субтитрів WebVTT, покращення виведення звуку на платформах macOS та iOS, оновлення скрипту для завантаження з Youtube , вирішення проблем із задіянням Direct3D11 для застосування апаратного прискорення на системах з деякими драйверами AMD.
Джерело: opennet.ru