phát hành trình phát phương tiện khắc phục , trong đó tích lũy và loại bỏ , bao gồm ba vấn đề (CVE-2019-14970, CVE-2019-14777, CVE-2019-14533) để thực thi mã của kẻ tấn công khi cố gắng phát các tệp đa phương tiện được thiết kế đặc biệt ở định dạng MKV và ASF (ghi tràn bộ đệm và hai vấn đề khi truy cập bộ nhớ sau khi nó được giải phóng).
Bốn lỗ hổng trong trình xử lý định dạng OGG, AV1, FAAD, ASF là do khả năng đọc dữ liệu từ các vùng bộ nhớ bên ngoài bộ đệm được phân bổ. Ba vấn đề dẫn đến việc hủy tham chiếu con trỏ NULL trong các trình giải nén định dạng dvdnav, ASF và AVI. Một lỗ hổng cho phép tràn số nguyên trong bộ giải nén MP4.
Sự cố với trình giải nén định dạng OGG (CVE-2019-14438) bởi các nhà phát triển VLC là đọc từ một khu vực bên ngoài bộ đệm (đọc tràn bộ đệm), nhưng các nhà nghiên cứu bảo mật đã xác định được lỗ hổng , điều này có thể gây tràn ghi và gây ra việc thực thi mã khi xử lý các tệp OGG, OGM và OPUS bằng khối tiêu đề được thiết kế đặc biệt.
Ngoài ra còn có một lỗ hổng (CVE-2019-14533) trong trình giải nén định dạng ASF, cho phép bạn ghi dữ liệu vào vùng bộ nhớ đã được giải phóng và thực thi mã khi thực hiện thao tác cuộn tiến hoặc lùi trên dòng thời gian trong khi phát lại WMV và các tập tin WMA. Ngoài ra, các sự cố CVE-2019-13602 (tràn số nguyên) và CVE-2019-13962 (đọc từ vùng bên ngoài bộ đệm) được gán mức nguy hiểm nghiêm trọng (8.8 và 9.8), nhưng các nhà phát triển VLC không đồng ý và coi những lỗ hổng này không nguy hiểm (họ đề xuất thay đổi cấp độ thành 4.3).
Các bản sửa lỗi không liên quan đến bảo mật bao gồm sửa lỗi giật hình khi xem video ở tốc độ khung hình thấp, cải thiện hỗ trợ phát trực tuyến thích ứng (mã đệm được cải thiện), giải quyết vấn đề hiển thị phụ đề WebVTT, cải thiện đầu ra âm thanh trên nền tảng macOS và iOS, cập nhật tập lệnh để tải xuống từ Youtube, Giải quyết các vấn đề khi bật Direct3D11 để áp dụng khả năng tăng tốc phần cứng trên các hệ thống có một số trình điều khiển AMD.
Nguồn: opennet.ru