حدد باحثو الأمن في Google ثغرة أمنية (CVE-2022-2566) في مكتبة libavformat المضمنة في حزمة الوسائط المتعددة FFmpeg. تسمح الثغرة الأمنية بتنفيذ تعليمات برمجية ضارة عند معالجة ملف MP4 معدل بشكل خاص على نظام الضحية. كانت الثغرة الأمنية موجودة منذ فرع FFmpeg 5.1 وتم إصلاحها في إصدار FFmpeg 5.1.2.
الثغرة الأمنية ناتجة عن خطأ في حساب حجم المخزن المؤقت في وظيفة build_open_gop_key_points () ، مما يؤدي إلى تجاوز عدد صحيح عند معالجة معلمات معينة وتخصيص كتلة من الذاكرة أصغر من المطلوب. تم نشر نموذج أولي لبرمجيات إكسبلويت لإثبات إمكانية وقوع هجوم.
المصدر: opennet.ru