ከGoogle የመጡ የደህንነት ተመራማሪዎች የFFmpeg መልቲሚዲያ ጥቅል አካል በሆነው በlibavformat ላይብረሪ ውስጥ ተጋላጭነትን (CVE-2022-2566) ለይተው አውቀዋል። ተጋላጭነቱ በተለየ ሁኔታ የተሻሻለ የmp4 ፋይል በተጠቂው ስርዓት ላይ ሲሰራ የአጥቂ ኮድ እንዲፈፀም ያስችላል። ተጋላጭነቱ በ FFmpeg 5.1 ቅርንጫፍ ውስጥ ይታያል እና በ FFmpeg 5.1.2 መለቀቅ ላይ ተስተካክሏል።
ተጋላጭነቱ የተፈጠረው በBuild_open_gop_key_points() ተግባር ውስጥ ያለውን የመጠባበቂያ መጠን በማስላት ላይ ባለ ስህተት ሲሆን ይህም የተወሰኑ መለኪያዎችን ሲያከናውን ወደ ኢንቲጀር ሞልቶ እንዲፈስ በማድረግ እና ከሚፈለገው ያነሰ የማህደረ ትውስታ ብሎክ በመመደብ ነው። ጥቃትን የመፈፀም እድልን ለማሳየት የብዝበዛ ፕሮቶታይፕ ታትሟል።
ምንጭ: opennet.ru