В проекте OpenH264, развивающем открытую реализацию видеокодека H.264, выявлена уязвимость (CVE-2025-27091), потенциально способная привести к выполнению кода при декодировании специально оформленного видео. Проблема проявляется в режимах SVC (Scalable Video Coding) и AVC (Advanced Video Coding), и вызвана состоянием гонки, приводящем к записи данных за пределы выделенного буфера. Уязвимость устранена в выпуске OpenH264 2.6.0. Проследить за появлением обновлений в дистрибутивах можно на следующих страницах: Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD.
De OpenH264-bibliotheek wordt ontwikkeld en onderhouden door Cisco en staat bekend om het feit dat deze het gebruik van H.264-videocompressietechnologieën in producten van derden mogelijk maakt zonder beperkingen en royalty's, omdat Cisco licentiehouder is van de MPEG-LA-organisatie. Het recht om gepatenteerde videocompressietechnologieën te gebruiken, wordt alleen overgedragen voor assemblages die door Cisco worden gedistribueerd, bijvoorbeeld gedownload van de Cisco-website. Een vergelijkbare functie wordt gebruikt in Firefox, openSUSE en Fedora om de H.264-codec legaal te gebruiken. De distributies leveren een metapakket en Firefox bevat een plug-in met code waarmee u een kant-en-klare OpenH264-build kunt downloaden van de site ciscobinary.openh264.org.
Bron: opennet.ru
