漏洞发现时间:
2017-09-13
漏洞编号:
CVE-2017-14222
CVE-2017-14223
CVE-2017-14225
危险等级:
低危
受影响软件:
FFmpeg 3.3.3
漏洞描述:
FFmpeg是一套免费的可记录、转换以及流化音视频的开源计算机程序。
前两个漏洞是由于在文件libavformat/mov.c、libavformat/asfdec_f.c中,缺少文件结尾检查,read_tfra()、asf_build_simple_index()函数存在拒绝服务漏洞,导致耗尽CPU内存资源。后一个漏洞的libavutil/pixdesc.c中的av_color_primaries_name函数可能会返回一个NULL指针,具体取决于文件中包含的值,导致一个NULL指针间接引用。
来源参考:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-14222
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-14223
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-14225
专家建议:
应用补丁,请向供应商咨询详情。
厂商补丁:
https://lists.ffmpeg.org/pipermail/ffmpeg-devel/2017-August/215198.html
https://github.com/FFmpeg/FFmpeg/commit/837cb4325b712ff1aab531bf41668933f61d75d2