Nodwyd 29 o wendidau yn fframwaith amlgyfrwng GStreamer

Mae 29 o wendidau wedi'u nodi yn fframwaith amlgyfrwng GStreamer a ddefnyddir yn GNOME. Mae wyth o wendidau yn arwain at ysgrifennu data y tu allan i ffiniau, ac mae un (CVE-2024-47540) yn arwain at drosysgrifo pwyntydd swyddogaeth. Mae'n bosibl y gall ymosodwyr ddefnyddio'r gwendidau hyn i weithredu cod wrth brosesu data amlgyfrwng wedi'i fformatio'n anghywir yn y fformatau MKV, MP4, Ogg, Vorbis ac Opus, yn ogystal ag isdeitlau yn y fformat SSA. Mae gwendidau eraill yn arwain at gyfeiriad pwyntydd nwl neu ddarlleniad o ardal cof y tu hwnt i ffin y glustog, h.y. gellir ei ddefnyddio i achosi damwain.

Defnyddir llyfrgell GStreamer i ddosrannu ffeiliau amlgyfrwng yn y rhaglenni Nautilus (Ffeiliau GNOME), Fideos GNOME a Rhythmbox, yn ogystal ag yn y peiriant chwilio traciwr-glowyr a ddatblygwyd gan brosiect GNOME. Mae'r injan hon wedi'i gosod ar lawer o ddosbarthiadau fel dibyniaeth ar y pecyn traciwr-echdynnu a ddefnyddir gan GNOME i ddosrannu metadata'n awtomatig mewn ffeiliau newydd. Ymhlith pethau eraill, mae'r gwasanaeth hwn yn mynegeio'r holl ffeiliau yn y cyfeiriadur cartref heb unrhyw gamau gan ddefnyddwyr. Felly, ar gyfer ymosodiad, mae'n ddigon i sicrhau bod ffeil amlgyfrwng a grëwyd yn arbennig yn ymddangos yng nghyfeirlyfr y defnyddiwr, a bydd y bregusrwydd yn cael ei ecsbloetio yn ystod ei fynegeio awtomatig.

Cafodd y gwendidau eu trwsio yn niweddariad GStreamer 1.24.10 (pecynnau gst-plugins-good, gst-plugins-base, gstreamer-plugins-ogg, gstreamer-plugins-opus, a gstreamer-plugins-vorbis). Yn ogystal â'r 29 o wendidau a nodwyd gan ymchwilwyr o Lab Diogelwch GitHub, mae fersiwn 1.24.10 yn trwsio 11 o wendidau eraill. Gallwch olrhain rhyddhau diweddariadau i'ch dosraniadau ar y tudalennau canlynol: Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD. Yn y rhan fwyaf o ddosraniadau sy'n seiliedig ar GNOME, mae'r gydran tracker-miners wedi'i galluogi yn ddiofyn ac wedi'i llwytho fel dibyniaeth galed ar reolwr ffeiliau Nautilus (GNOME Files). I analluogi tracker-miners, gallwch ddefnyddio'r gorchmynion canlynol:

systemctl --defnyddiwr mwgwd tracker-store.service tracker-miner-fs.service tracker-miner-rss.service tracker-extract.service tracker-miner-apps.service tracker-writeback.service tracker reset --hard

Ffynhonnell: opennet.ru

Prynu gwesteio dibynadwy ar gyfer gwefannau sydd â diogelwch DDoS, gweinyddwyr VPS VDS 🔥 Prynu cynnal gwefannau dibynadwy gyda diogelwch DDoS, gweinyddion VPS VDS | ProHoster