Google ನಲ್ಲಿನ ಭದ್ರತಾ ಸಂಶೋಧಕರು FFmpeg ಮಲ್ಟಿಮೀಡಿಯಾ ಪ್ಯಾಕೇಜ್ನೊಂದಿಗೆ ಒಳಗೊಂಡಿರುವ libavformat ಲೈಬ್ರರಿಯಲ್ಲಿ ದುರ್ಬಲತೆಯನ್ನು (CVE-2022-2566) ಗುರುತಿಸಿದ್ದಾರೆ. ಬಲಿಪಶುವಿನ ಸಿಸ್ಟಂನಲ್ಲಿ ವಿಶೇಷವಾಗಿ ಮಾರ್ಪಡಿಸಿದ mp4 ಫೈಲ್ ಅನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸಿದಾಗ ದೋಷಪೂರಿತ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ದುರ್ಬಲತೆ ಅನುಮತಿಸುತ್ತದೆ. ದುರ್ಬಲತೆಯು FFmpeg 5.1 ಶಾಖೆಯಿಂದಲೂ ಇದೆ ಮತ್ತು FFmpeg 5.1.2 ಬಿಡುಗಡೆಯಲ್ಲಿ ಸ್ಥಿರವಾಗಿದೆ.
ದುರ್ಬಲತೆಯು build_open_gop_key_points() ಕಾರ್ಯದಲ್ಲಿ ಬಫರ್ ಗಾತ್ರವನ್ನು ಲೆಕ್ಕಾಚಾರ ಮಾಡುವ ದೋಷದಿಂದ ಉಂಟಾಗುತ್ತದೆ, ಇದು ಕೆಲವು ನಿಯತಾಂಕಗಳನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವಾಗ ಮತ್ತು ಅಗತ್ಯಕ್ಕಿಂತ ಚಿಕ್ಕದಾದ ಮೆಮೊರಿಯ ಬ್ಲಾಕ್ ಅನ್ನು ನಿಯೋಜಿಸುವಾಗ ಪೂರ್ಣಾಂಕದ ಓವರ್ಫ್ಲೋಗೆ ಕಾರಣವಾಗುತ್ತದೆ. ದಾಳಿಯ ಸಾಧ್ಯತೆಯನ್ನು ಪ್ರದರ್ಶಿಸಲು ಶೋಷಣೆಯ ಮೂಲಮಾದರಿಯನ್ನು ಪ್ರಕಟಿಸಲಾಗಿದೆ.
ಮೂಲ: opennet.ru