گوگل جي سيڪيورٽي محققن ليباو فارميٽ لائبريري ۾ هڪ ڪمزوري (CVE-2022-2566) جي نشاندهي ڪئي آهي، جيڪو FFmpeg ملٽي ميڊيا پيڪيج جو حصو آهي. خطري جي اجازت ڏئي ٿي حملي ڪندڙ جي ڪوڊ تي عمل ڪيو وڃي جڏهن هڪ خاص طور تي تبديل ٿيل mp4 فائل مقتول جي سسٽم تي عمل ڪيو وڃي. نقصان FFmpeg 5.1 برانچ ۾ ظاهر ٿئي ٿو ۽ FFmpeg 5.1.2 رليز ۾ مقرر ٿيل آهي.
خرابي بلڊ_open_gop_key_points() فنڪشن ۾ بفر جي سائيز کي ڳڻڻ ۾ هڪ غلطي جي ڪري پيدا ٿئي ٿي، هڪ انٽيگر اوور فلو جي ڪري ٿي جڏهن ڪجهه پيٽرولن کي پروسيس ڪندي ۽ هڪ ميموري بلاڪ مختص ڪري ٿو جيڪو ضرورت کان ننڍو آهي. حملي کي کڻڻ جي امڪان کي ظاهر ڪرڻ لاء، هڪ استحصالي پروٽوٽائپ شايع ڪيو ويو آهي.
جو ذريعو: opennet.ru