FFmpeg avcodec_decode_audio4拒绝服务漏洞

漏洞起因
边界条件错误
危险等级

影响系统
FFmpeg 1.1.3之前版本

不受影响系统

危害
远程攻击者可以利用漏洞使应用程序崩溃。

攻击所需条件
攻击者必须构建特制的音频数据,诱使用户解析。

漏洞信息
FFmpeg是一款用于录制、转换和流化音频和视频的完整解决方案。
FFmpeg libavcodec中的utils.c avcodec_decode_audio4函数在处理某些skip操作之前对解码状态缺少校验,允许攻击者构建特制的音频数据触发数组越界访问,造成应用程序崩溃。

测试方法

厂商解决方案
用户可参考如下厂商提供的安全公告获得补丁信息:
http://git.videolan.org/?p=ffmpeg.git;a=commit;h=8a6449167a6da8cb747cfe3502ae86ffaac2ed48

漏洞提供者
vendor