Уязвимость в FFmpeg, позволяющая выполнить код при обработке mp4-файлов
Дата публикации:Sat, 01 Oct 2022 09:51:00 +0300
Исследователи безопасности из компании Google
выявили уязвимость (CVE-2022-2566) в библиотеке libavformat, входящей в состав мультимедийнго пакета FFmpeg. Уязвимость позволяет добиться выполнения кода злоумышленника при обработке на системе жертвы специально изменённого файла в формате mp4. Уязвимость проявляется начиная с ветки FFmpeg 5.1 и устранена в выпуске FFmpeg 5.1.2.
Уязвимость вызвана ошибкой вычисления размера буфера в функции build_open_gop_key_points(), приводящей к целочисленному переполнению при обработке определённых параметров и выделению блока памяти, размером меньше, чем требуется. Для демонстрации возможности совершения атаки опубликован прототип эксплоита.
Новость позаимствована с opennet.ru
Ссылка на оригинал: https://www.opennet.ru/opennews/art.shtml?num=57853