Дослідники безпеки з компанії Google виявили вразливість (CVE-2022-2566) у бібліотеці libavformat, що входить до складу мультимедійного пакету FFmpeg. Вразливість дозволяє досягти виконання коду зловмисника під час обробки на системі жертви спеціально зміненого файлу у форматі mp4. Вразливість проявляється починаючи з гілки FFmpeg 5.1 та усунена у випуску FFmpeg 5.1.2.
Вразливість викликана помилкою обчислення розміру буфера функції build_open_gop_key_points(), що призводить до цілісного переповнення при обробці певних параметрів і виділення блоку пам'яті, розміром менше, ніж потрібно. Для демонстрації можливості атаки опубліковано прототип експлоїту.
Джерело: opennet.ru