Travis CI: run Coverity Scan on every master build

We never remember to push to the coverity_scan branch, so currently
Coverity Scan never runs. Our master builds are not very frequent,
so we should be able to afford running Coverity Scan on every build.

Travis CI: build using both GCC and Clang

On OS X, `gcc` is just an alias for Clang, so exclude it to
avoid wasting resources doing the exact same build job twice.

Travis CI: remove libtool reinstall hack on OS X

The problem was fixed in Homebrew in libtool 2.4.6_1:
https://github.com/Homebrew/homebrew-core/commit/712f737a7f64f0fd905357c3765cdce0821a4af2

Since https://blog.travis-ci.com/2016-10-04-osx-73-default-image-live/,
this libtool comes preinstalled on Travis CI, thus the hack is no longer needed.

Homebrew bug report possibly relevant to the original problem:
https://github.com/Homebrew/legacy-homebrew/issues/43874

Travis CI: explicitly install FreeType on Linux

Do this for consistency with the other library dependencies.

For reference, currently, both FreeType and Fontconfig
are preinstalled and don't need to be explicitly mentioned.

Travis CI: don't require Fontconfig binaries

Only the library is needed.

In fact, `apt-get install fontconfig` didn't even install the library at
all. Luckily, the package we actually want is preinstalled on Travis CI.
We could continue to rely on this fact and completely remove Fontconfig
from the install list, but it's clearer and possibly more future-proof
to explicitly list it there.

Travis CI: disable Fontconfig on OS X

Homebrew generates the Fontconfig cache when installing Fontconfig,
which delays the build by several minutes. Disable the Fontconfig
font provider on OS X to avoid this.

Reduce precision of border width in outline cache keys

The value used to generate outline cache values is 26.6, so there
is no point in storing the more precise 16.16 in the cache key.
Indeed, this can only reduce the efficiency of the cache
and provide an extra opportunity for overflow.

Reflect border_scale in outline cache keys

border_scale can change, e. g. when ass_render_frame is called twice with
the same renderer but different tracks. Glyphs with equal \bord tag values
but different border_scale values produce different border outlines and
hence should be distinguished in outline cache keys. To this end, store
scaled border widths (which are really used when generating the outlines)
in cache keys instead of \bord tag values.

render: remove redundant has_clips

has_clips was a workaround for the case where a new image reused
the same memory address as another image used in the previous frame.
In case of such reuse, comparison by pointer address failed
to distinguish the different images in ass_detect_change().
After commit dd06ca30ea79ce50116a43cc5521d4eaf60a017e,
images in the previous frame are no longer freed before
the comparison with current frame. Thus no such reuse can occur,
and the workaround is redundant.

See https://github.com/libass/libass/pull/258.

render_api: do not discard old images on reconfiguration

I noticed that when resizing the mpv window while playback is ongoing
and with subtitles, that subtitles could sometimes get "stuck" on the
screen. The stuck subtitle would remain until the next subtitle event,
or until seeking to a position that has subtitles again.

It turned out that this was a libass change detection bug. The following
steps should reproduce the problem:

1. call ass_render_frame() with a time that has subtitles
2. call ass_set_frame_size() with a different size
3. call ass_render_frame() with a time that has no subtitles

The previous call will return with *detect_change==0.

To make this worse, libass will deallocate image data before the next
ass_render_frame() or ass_renderer_done(), which violates the API and
could possibly make some API users crash. (That the user can rely on
this is not documented though.)

There are two possible solutions:

1. Set a flag in ass_reconfigure(), that makes the next
   ass_render_frame() call always return *detect_change==2.
2. Do not discard the previous subtitles (images_root), so change
   detection can work reliably.

This commit implements 2. - I prefer this in part because it doesn't
clobber the previously returned image list before the next
ass_render_frame() call. (As pointed out above, this might be unexpected
behavior to the API user.)

This is a regression and was possibly broken by commit dd06ca and later.
I did not check whether it actually behaved sanely before that change,
but it probably did to a degree.

render: clip BorderStyle=4 against screen

ASS_Images returned by libass are guaranteed to be clipped. Not doing
this will cause invalid memory accesses in applications which try to use
this guarantee.

Fixes #254.

Bump ABI version and release 0.13.6

sizeof(ASS_Style) is actually part of the ABI, so adding the Justify field
in commit e54c123d5a08b6212533ddcced2cb1a50fa3d2b2 broke the ABI even
though we tried to avoid it by placing the field at the end of the struct.

Release 0.13.5

api: make ass_set_cache_limits() work on total bitmap cache sizes

Previously was possible to set only bitmap_max_size,
now requested memory amount is divided between
bitmap_max_size and composite_max_size.

Fix memory leak when Language header is defined more than once

Discovered by OSS-Fuzz.
Fixes https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=229.

parse_tag: don't consume *end == ')' when called recursively

This did not cause any problems, but it's nicer
to guarantee that the return value is <= end.

Fix buffer overread in parse_tag when end points to a space

When parse_tag is invoked recursively to handle the animated tags inside
a \t tag, the `end` argument is taken from the `end` field of a struct arg
in the enclosing parse_tag. When struct arg is filled by push_arg, this
field is always right-trimmed using rskip_spaces. Ultimately, the inner
parse_tag invokation sees its `end` argument point not to the ')' or '}'
of the \t as it expects but rather to the spaces preceding the ')' or '}'.

At this point, when parse_tag calls skip_spaces, which is ignorant of the
end pointer, it happily skips over the spaces preceding the ')', moving the
pointer past `end`. Subsequent `pointer != end` comparisons in parse_tag
fail (as in fact `pointer > end`), and parse_tag thinks it is still inside
the substring to be parsed.

This is harmless in many cases, but given either of the following inputs,
parse_tag reads past the end of the actual buffer that stores the string:

    {\t(\ }
    {\t(\ )(}

After this commit, parse_tag knows that `end` can point to a sequence of
spaces and avoids calling skip_spaces on `end`, thus avoiding the overread.

Discovered by OSS-Fuzz.
Fixes https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=194.

directwrite: drop SAL annotations

MinGW and old versions of mingw-w64 don't define the SAL macros.
They don't serve any value to us, so just remove them from our code.

See https://github.com/libass/libass/pull/251.

ass_strtod: correctly convert large negative exponents

Avoid overflow in dblExp that prevents subnormal numbers from being
generated (or small normal numbers if `double` supports many more
negative exponents than positive): if `10**abs(exp)` would overflow
and we actually want a negative exponent, switch to using precomputed
negative powers of 10 rather than positive.

Also avoid underflow for numbers with a large negative exponent where
the exponent alone underflows but the significand has enough digits to
cancel this out, e. g. in `10e-324` with IEEE 754 double.

ass_strtod: don't cast away const

ass_strtod: handle overflowing exponents

The exponent may overflow an integer, e. g. in
`14e888888888888888888888888888880000000000000000000000000000`
on a 32-bit platform. Correctly handle this, including the case
when the exponent overflows but the whole string still describes
a valid floating-point number, e. g. in
`1[4294967200 zeros]e-4294967300`.

This fixes libass#244. Buffer overflow was fixed in 67f647e, and
this ensures that the string is converted to the correct number.

ass_strtod: skip leading zeros in mantissa

ass_strtod reads at most 18 leading digits of the mantissa.
This previously included zeros, even though they are not significant
digits, e. g. 0.000000000000000001e18 was converted to 0.0.
After this commit, leading zeros before and after the decimal point
will be skipped, so the above number will be correctly converted to 1.0.

ass_strtod: don't report overflow for 0.0e[huge exponent]

ass_strtod: use size_t for substring lengths

This fixes overflow on extremely long input strings.
See libass#244.

Add text justification

Subtitle recommendations often include that multi line
subtitles should be left justified as this is easier for
the eyes. This is also the standard used by several television
companies.

This add the possibility to define how subtitles are to
be justified, independently of where they are aligned.
The most common way could be to set justify to left, and have
alignment to center. But you can, for example, have alignment
to left and justify to center, giving subtitles to the left but
justifed on the center (instead of normal left justified).
Using justify right and alignment of center, might be good
choice for Arabic.

If justify is not defined, all works like before.
If justify is defined, subtitles are aligned as defined
by alignment and justified as defined by justify.

ASS is not extended by this, justify can only be defined
by setting Justify to wanted justification.

Add CVE identifiers of the fuzzing fixes.

As assigned by [1]. Unfortunately I only learned of the CVE assignments
after the release.

Release 0.13.4

Remove unused variable

Fix line wrapping mode 0/3 bugs

This fixes two separate bugs:

a) Don't move a linebreak into the first symbol. This results in a empty
   line at the front, which does not help to equalize line lengths at all.
   Instead, merge line with the second one.
b) When moving a linebreak into a symbol that already is a break, the
   number of lines must be decremented. Otherwise, uninitialized memory
   is possibly used for later layout operations.

Found by fuzzer test case
id:000085,sig:11,src:003377+003350,op:splice,rep:8.

This might also affect and hopefully fix libass#229.

v2: change semantics according to review

Fix blur coefficient calculation buffer overflow

Found by fuzzer test case id:000082,sig:11,src:002579,op:havoc,rep:8.
Correctness should be checked, but this fixes the overflow for good.

Fix memory leaks

Found by fuzzer test case id:000051,sig:11,sync:fuzzer3,src:004221.

shaper: fix reallocation

Update the variable that tracks the allocated size. This potentially
improves performance and avoid some side effects, which lead to
undefined behavior in some cases.

Fixes fuzzer test case id:000051,sig:11,sync:fuzzer3,src:004221.

CI: Don't fail on MacOS if brew cannot remove libtool.

This is the better option, as it won't break the CI script if travis
ends up removing the preinstalled libtool bundle for whatever reason.

Fix broken MacOS CI.

At some point in the past Travis and homebrew colluded to break the
preinstalled libtool on travis MacOS instances. Forcing brew to
reinstall libtool seems to be the common solution that several other
projects on github have used.

Fix license title

I'm a dummy. Of course it is the ISC license. I started to relicense
libass to ISC myself, after all.

Release 0.13.3

Improve license file

Fixes libass#234.

bitmap: use calloc instead of malloc/memset

This can improve perf somewhat with large bitmaps

cache: fix ownership tracking issues of ASS_Font

font load from dir: use MSGL_INFO instead of MSGL_WARN

This is a normal course of action and should not generate a warning,
especially for applications which use libass and might notify the user
on such "warnings", while in fact it should be info or even verbose.

Fixes #231

render: add refcounting functionality to image lists

cache: keep referenced cache values alive after ass_cache_empty()

render: keep track of any associated resources within ASS_Image

That resources can be cached composite bitmap or raw bitmap buffer.
Consequently, free lists are no longer needed.

cache: keep ref_count of all active objects nonzero

cache: replace size_func with parameter in ass_cache_commit()

cache: remove ass_cache_cancel(), cache failures instead

cache: switch to gradual cache clearing

Advantages over the old algorithm consist of the following.
 * There are no glitches due to full cache clearing.
   Items are arranged into linked list ordered by time of last use.
   Only the oldest items get deleted at the clearing event.
 * Each item now keeps track of number of references.
   Referenced cache values are immune to clearing.
 * Reduced amount of total cache memory for the same performance.
 * Reduced number of memory allocations per cache item.

README: add QMPlay2 to list of projects using libass

Closes #225.

shaper: drop RTL base direction for RTL font encodings

VSFilter uses LTR base direction even if Arabic or Hebrew font
encodings are used, so do the same. This resolves some reordering
issues.

Fixes #224.

font: fix NULL pointer dereference

rasterizer: drop outlines with points at too large coordinates

Such points can overflow internal calculations and usually produced
as a result of NaN to integer conversion.

Should fix #210.

Merge pull request #217 from ssbssa/master

directwrite: fix leaks of IDWriteFontFamily/IDWriteFontCollection

directwrite: fix leaks of IDWriteFontFamily/IDWriteFontCollection

configure: use proper quoting on iconv test

Unquoted strings cause an error when the test variable is empty.

Merge pull request #214 from SeanMcG/upstream

Patches from VLC contrib collection

configure: add libiconv only when it is both present and required

configure: use correct ASFLAGS for yasm on Solaris

configure.ac: add missing spaces to error message

Release 0.13.2

Document default value for ass_set_check_readorder

ass: handle movement==0 in ass_step_sub()

Finds the start of the subtitle at "now".

font: remove unused function

ass: add ass_set_check_readorder() API function

Not all API users will keep the event list on seeking. This also gives
the opportunity to API users to handle severely broken files with
duplicate ReadOrder entries. (It is not known whether this is really
needed, however VSFilter does not deduplicate using the ReadOrder
field.)

ass: declare mixing ass_flush_events() and ass_process_chunk() allowed

This was always the intention, but the wording could be read as if this
is not allowed. There was a bug that broke ass_flush_events() too, which
gives all the more reason to clarify this.

Changelog: create entry for the next version

It's always such a bother to write the changelog on release. And in
fact, there is no reason why the changelog should be written on release.
It's easier to edit it as we commit fixes or features.

I'm adding the changelog entries for the past two commits, and in the
future, we should add entries as we commit bug fixes or new features.

ass: reset the ReadOrder bitmap on ass_flush_events()

Otherwise, ass_process_chunk() will reject events that were previously
removed with ass_flush_events(), which is nonsense.

coretext: fix NULL CFStringRef dereference

Release 0.13.1

coretext: don't fetch character set when it isn't needed

This avoids unnecessary work and fixes a memory leak:
the character set wasn't released when code == 0.

fontselect: destroy private data of fonts that fail to be added

fontselect: fix bool return values

Return true on success and false on failure.

get_font_info was actually inconsistent, returning false both
on success and on failure due to the face not being scalable.

coretext: don't forget to release font format attribute

fontselect: replace is_postscript flag with check_postscript function

DirectWrite does not provide fast access to the is_postscript flag,
requiring each font to be loaded before its format can be determined.
Eagerly doing this for every installed font can be quite slow,
on the order of seconds.

To improve performance, ask the font provider for this information
only when it is actually needed, i.e. when one of the font's full
names or its PostScript name matches a requested font name and we
need to know whether to accept this match.

The return value of check_postscript is not cached in this commit.
This makes repeated calls slower than accessing is_postscript was.
This should not be a problem, but if it is, the value can be cached
(or precomputed) by font providers in their font private data.

This commit also potentially increases the memory usage of some
font providers by retaining data structures needed to implement
check_postscript in their font private data. This should not be
a problem either, but if it is, the value of check_postscript
can be precomputed by all providers other than DirectWrite.

directwrite: improve error handling

  * Check malloc and calloc return values.
  * Abort if a name can't be fetched, rather than supply a NULL
    string to fontselect causing it to crash.
  * Make sure to free all allocated memory.
  * Always check FAILED(hr) before using the value of any output
    argument returned by DirectWrite, because it is not clear whether
    they are guaranteed to have correct values in case of error.

directwrite: slightly clean up the code

  * Metrics are not used, so don't fetch them.
  * All variables except meta are always explicitly set before use,
    so don't initialize them.
  * Declare variables where they are used.
  * Use int loop variables when the loop bound is int.
  * Prefer post-increment to pre-increment.

directwrite: split out the inner loop of scan_fonts as a separate function

This has the side effect that the ASS_FontProviderMetaData instance is now
cleared for every font rather than only once at the start of the search,
which fixes some use-after-free scenarios and prevents the creation of
chimeric fonts using names left over from other fonts processed earlier.

This lays the groundwork for further code simplification and error handling
improvements within this function, which will come in a separate commit.

This commit is transparent to `git blame -w` except for return statements.

Interpret timestamps with negative components more obviously

Keep all components signed, allowing for timestamps like 00:01:-05.00
to denote 55 seconds. This matches the behavior of VSFilter.

Fix several signedness bugs

Reported by gcc -Wall -Wextra.

Fix Windows build

Some parts used in fontselect weren't properly defined.

v2: RAW_CFF face type was added later, so it's at the end of the
enum list.

fontselect: silence warnings about discarding const

Fixing this properly involves constifying ASS_FontProviderMetaData
and refactoring code that allocates and frees strings stored in it.
This seems easy on the surface but turns out to be nontrivial when
you actually try to do it. This may still be done at a later date,
but for now, just add explicit casts.

Fix the Linux build on Travis CI

We need a newer Fontconfig than the default Ubuntu
environment provides, so switch to a newer Ubuntu.

fontselect: don't trim font names

This matches the behavior of GDI and hence VSFilter.

Note that \fn arguments are trimmed during parsing.
However, none of the names inside fonts should be trimmed,
and @-prefixed fonts should keep whitespace following the @,
both of which this commit addresses.

Remove strdup_trimmed because it is no longer used. Also remove
the declaration of a function that was deleted a few months ago.

fontselect: don't find fonts with PostScript outlines by full name

Related to commit e00691e8096cc69e5651480155ebc61d9e079290:
it turns out that GDI (and hence VSFilter) does not check full names of
fonts that have PostScript outlines when searching for a font by name.

To summarize the resulting behavior:
  * Fonts with PostScript outlines can be found by family name
    and by PostScript name.
  * Fonts without PostScript outlines can be found by family name
    and by full name.

font: check FT_Get_Postscript_Name return value for NULL

fontselect: use stdbool.h wherever appropriate

directwrite: fix broken return value check

fontselect: find fonts with PostScript outlines by PostScript name

Fonts without PostScript outlines (such as TrueType fonts) are unaffected,
and their PostScript names continue to be ignored when searching for fonts.

This matches the behavior of GDI and hence VSFilter.

fontconfig: read PostScript names

And fix two wrong comments.

Bump the Fontconfig version requirement to 2.10.92 (2.11 RC2), released
on 2013-03-29, to ensure Fontconfig caches and exposes PostScript names.

fontselect: read PostScript names for memory fonts

Currently this affects only the verbose output in
ass_font_select, but it will become more useful when we
start matching against PostScript names in the future.

fontselect: move PostScript name into ASS_FontProviderMetaData

fontselect: fix ass_font_provider_add_font signature and doxygen

index is signed, and psname only overrides it iff index < 0.

drawing: remove unused field

configure: don't add unnecessary libraries to PKG_LIBS_PRIVATE

Library checks can succeed if the needed functions exist in libc
and don't need any extra linker flags. Avoid adding unnecessary
flags (which break static linking against libass) in this case.

configure: include -liconv if that is found

ass: use a bitmap for checking duplicate events

The loop in check_duplicate_event() essentially makes event processing
with ass_process_chunk() O(n^2). Using a bitmap instead of a loop brings
it back to O(n).

This could be interpreted as an API change: since the event list is
freely modifieable by the API user through ASS_Track public fields,
libass can't know if the internal bitmap went out of sync with the
public event list. We just redefine it so that calling
ass_process_chunk() means the API user agrees not to manipulate the
event list otherwise.

configure: Set the correct x32 machine option for yasm

Use proper include statement for HarfBuzz

cache: remove unused BINSTRING field type

Its only use was removed in commit b63d8931.

Update last release date in README

Release 0.13.0