коригуючий реліз медіаплеєра , в якому усунуті накопичені та усунено , серед яких три проблеми (CVE-2019-14970, CVE-2019-14777, CVE-2019-14533) до виконання коду зловмисника при спробі відтворення спеціально оформлених мультимедійних файлів у форматах MKV та ASF (переповнення буфера на запис та дві проблеми зі зверненням до пам'яті після його звільнення).
Чотири вразливості в обробниках форматів OGG, AV1, FAAD, ASF викликані можливістю читання даних із областей пам'яті поза виділеним буфером. Три проблеми призводять до розіменування покажчика NULL в розпакувальниках форматів dddnav, ASF і AVI. Одна вразливість дозволяє досягти цілого переповнення в розпакувальнику MP4.
Проблема в розпаковувачі формату OGG (CVE-2019-14438) розробниками VLC як читання з області поза буфером (read buffer overflow), але виявили вразливість дослідники безпеки , що можна викликати переповнення на запис та організувати виконання коду при обробці файлів OGG, OGM та OPUS зі спеціально оформленим блоком заголовків.
Відзначається також вразливість (CVE-2019-14533) у розпакувальнику формату ASF, яка дозволяє записати дані у вже звільнену область пам'яті та досягти виконання коду під час операції прокручування вперед або назад на шкалі часу в процесі відтворення файлів WMV та WMA. Крім того, проблемам CVE-2019-13602 (цілочисленне переповнення) та CVE-2019-13962 (читання з області поза буфером) присвоєно критичний рівень небезпеки (8.8 та 9.8), але розробники VLC не згодні і вважають дані вразливості безпечними (пропонують зміни) на 4.3).
З не пов'язаних з безпекою виправлень виділяються усунення заїкуватості під час перегляду відео з низькою частотою кадрів, покращення підтримки адаптивного потокового мовлення (покращено код буферизації), вирішення проблем з відображенням субтитрів WebVTT, покращення виведення звуку на платформах macOS та iOS, оновлення скрипту для завантаження з Youtube , вирішення проблем із задіянням Direct3D11 для застосування апаратного прискорення на системах з деякими драйверами AMD.
Джерело: opennet.ru