FFmpeg拒绝服务漏洞

2017-09-18 15:02:44 来源:qs

漏洞发现时间:

2017-09-13

漏洞编号:

CVE-2017-14222

CVE-2017-14223

CVE-2017-14225

危险等级:

低危                       

受影响软件:

FFmpeg 3.3.3

漏洞描述:

      FFmpeg是一套免费的可记录、转换以及流化音视频的开源计算机程序。

  前两个漏洞是由于在文件libavformat/mov.clibavformat/asfdec_f.c中,缺少文件结尾检查,read_tfra()asf_build_simple_index()函数存在拒绝服务漏洞,导致耗尽CPU内存资源。后一个漏洞的libavutil/pixdesc.c中的av_color_primaries_name函数可能会返回一个NULL指针,具体取决于文件中包含的值,导致一个NULL指针间接引用。

来源参考:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-14222

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-14223

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-14225

专家建议:

应用补丁,请向供应商咨询详情。

厂商补丁:

https://lists.ffmpeg.org/pipermail/ffmpeg-devel/2017-August/215198.html

https://github.com/FFmpeg/FFmpeg/commit/837cb4325b712ff1aab531bf41668933f61d75d2


上一条Joomla!跨站脚本漏洞 返回列表 Microsoft .NET Framework远程执行代码下一条
回到首页 产品服务 解决方案 新闻中心 到顶部