Google'дун коопсуздук изилдөөчүлөрү FFmpeg мультимедиа пакетинин бир бөлүгү болгон libavformat китепканасында (CVE-2022-2566) аялуу жерди аныкташты. Жабырлануучунун системасында атайын өзгөртүлгөн mp4 файлы иштетилгенде, алсыздык чабуулчунун кодун аткарууга мүмкүндүк берет. Аялуу FFmpeg 5.1 бутагында пайда болот жана FFmpeg 5.1.2 релизинде оңдолот.
Алсыздык build_open_gop_key_points() функциясында буфердин өлчөмүн эсептөөдөгү катадан келип чыгат, бул белгилүү бир параметрлерди иштетүүдө жана талап кылынгандан кичирээк эстутум блогун бөлүштүрүүдө бүтүн сандардын ашып кетишине алып келет. Чабуул жасоо мүмкүнчүлүгүн көрсөтүү үчүн эксплуатациянын прототиби жарыяланды.
Source: opennet.ru