FFmpeg တွင် အားနည်းချက်သည် mp4 ဖိုင်များကို လုပ်ဆောင်သည့်အခါ ကုဒ်လုပ်ဆောင်မှုကို ခွင့်ပြုသည်။

Google ရှိ လုံခြုံရေးသုတေသီများသည် FFmpeg မာလ်တီမီဒီယာပက်ကေ့ခ်ျ၏ တစ်စိတ်တစ်ပိုင်းဖြစ်သော libavformat စာကြည့်တိုက်ရှိ အားနည်းချက်တစ်ခု (CVE-2022-2566) ကို ရှာဖွေတွေ့ရှိခဲ့သည်။ အားနည်းချက်သည် သားကောင်၏စနစ်တွင် အထူးပြုပြင်ထားသော MP4 ဖိုင်ကို လုပ်ဆောင်သည့်အခါ တိုက်ခိုက်သူမှ အစပြုသည့် ကုဒ်ကို အကောင်အထည်ဖော်ရန် ခွင့်ပြုသည်။ အားနည်းချက်သည် FFmpeg 5.1 မှ စတင်၍ ရှိနေပြီး FFmpeg 5.1.2 တွင် ပြုပြင်ထားသည်။

အားနည်းချက်သည် build_open_gop_key_points() လုပ်ဆောင်ချက်ရှိ ကြားခံအရွယ်အစား တွက်ချက်မှု အမှားကြောင့် ဖြစ်ပေါ်လာသည့် အားနည်းချက်မှာ အချို့သော ကန့်သတ်ဘောင်များကို လုပ်ဆောင်ပြီး လိုအပ်သည်ထက် ပိုသေးငယ်သော မမ်မိုရီဘလောက်ကို ခွဲဝေပေးသည့်အခါ ကိန်းပြည့်ပြည့်သွားစေသည်။ တိုက်ခိုက်မှု၏ဖြစ်နိုင်ချေကို သရုပ်ပြရန်အတွက် ရှေ့ပြေးပုံစံ exploit ကို ထုတ်ဝေလိုက်ပါသည်။

source: opennet.ru