漏洞起因
边界条件错误
危险等级
中
影响系统
FFmpeg 0.x
不受影响系统
危害
远程攻击者可以利用漏洞使应用程序崩溃或任意代码执行。
攻击所需条件
攻击者必须构建恶意媒体文件,诱使用户解析。
漏洞信息
FFmpeg是一款用于录制、转换和流化音频和视频的完整解决方案。
FFmpeg存在多个安全漏洞:
1)当解析ASF, QT和WMV文件时libavcodec库存在一些错误,可导致破坏内存。
2)”ff_compute_band_indexes()”函数(libavcodec/mpegaudiodec.c)存在错误,可被利用破坏内存。
测试方法
厂商解决方案
FFmpeg 1.0已经修复此漏洞,建议用户下载使用:
http://ffmpeg.sourceforge.net/index.php
漏洞提供者
1) Jeremy Brown, Microsoft.
2) Inferno, Google.
评论关闭。