Google 的安全研究人员在 FFmpeg 多媒体包中包含的 libavformat 库中发现了一个漏洞 (CVE-2022-2566)。 当在受害者的系统上处理经过特殊修改的 mp4 文件时,该漏洞允许执行恶意代码。 该漏洞自 FFmpeg 5.1 分支以来就存在,并在 FFmpeg 5.1.2 版本中修复。
该漏洞是由于build_open_gop_key_points()函数中计算缓冲区大小时出现错误,导致处理某些参数时出现整数溢出并分配小于所需的内存块。 已发布漏洞利用原型来演示攻击的可能性。
来源: opennet.ru