I ricercatori di sicurezza di Google hanno identificato una vulnerabilità (CVE-2022-2566) nella libreria libavformat inclusa nel pacchetto multimediale FFmpeg. La vulnerabilità consente l'esecuzione di codice dannoso quando un file mp4 appositamente modificato viene elaborato sul sistema della vittima. La vulnerabilità è presente dal ramo FFmpeg 5.1 ed è stata risolta nella versione FFmpeg 5.1.2.
La vulnerabilità è causata da un errore nel calcolo della dimensione del buffer nella funzione build_open_gop_key_points(), che porta a un overflow di numeri interi durante l'elaborazione di determinati parametri e l'allocazione di un blocco di memoria inferiore a quello richiesto. È stato pubblicato un prototipo di exploit per dimostrare la possibilità di un attacco.
Fonte: opennet.ru