Уязвимости в старых версиях FFmpeg

Александр Панасенко 22 Октября 2012 - 09:05

...

Microsoft и Secunia опубликовали информацию об уязвимостях в наборе open source инструментов и библиотек FFmpeg до версии 0.11.2, включительно. Как известно, FFmpeg 1.0 вышел 1 октября 2012 года, то есть относительно недавно. Хотя в последней версии уязвимости закрыты, но наверняка многие пользователи ещё не успели обновиться.

Широкая распространённость FFmpeg на всех платформах делает уязвимости даже в старых версиях библиотеки чрезвычайно опасными и подходящими для создания успешных эксплойтов.

Предупреждение Microsoft MSVR12-017 относится к версиям FFmpeg 0.10 и более ранним. Согласно описанию, библиотека libavcodec некорректно обрабатывает содержимое медиафайлов ASF, QuickTime (QT) и Windows Media Video (WMV), что позволяет внедрить в них вредоносный код и исполнить код в системе с теми же правами, под которыми работает пользователь. Если юзер работает с правами администратора, то код получает полные права в системе, может незаметно устанавливать программное обеспечение, просматривать/изменять/удалять файлы и т.д., передает xakep.ru

Microsoft заблаговременно сообщила разработчикам FFmpeg об обнаруженных уязвимостях, которым присвоены номера CVE-2012-5359, CVE-2012-5360 и CVE-2012-5361.

В сообщении от компании Secunia указаны те же уязвимости, но написано, что они присутствуют вплоть до версии 0.11.2, которая была последней версией FFmpeg до релиза 1.0.

Дополнительно поясняется, что ошибка содержится в коде libavcodec/mpegaudiodec.c, а именно — в реализации функции ff_compute_band_indexes(). Специалисты Secunia указывают на связь этой уязвимости с багом в mp3dec, о котором сообщил Костя Шишков в мае 2012 года.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Читайте также

Розницу атаковали боты и DDoS

Яков Шпунт 10 Января 2025 - 13:38

Атаки на сайты DDoS-атаки Малый и средний бизнес Корпорации

В новогодние праздники российская розница и электронная коммерция столкнулись с волной мощных кибератак. Основная угроза исходила от ботов-парсеров, которые конкуренты использовали для сбора данных о товарных предложениях на аналогичных площадках.

Однако фиксировались и атаки, вызванные политическими мотивами.

Особый интерес для хактивистов представляли онлайн-кассы. По словам эксперта Kaspersky DDoS Protection Вячеслава Кириллова, пиковая активность злоумышленников наблюдалась 1 и 3 января — дни, когда нагрузка на онлайн-кассы традиционно достигает максимума. Схожую картину зафиксировали аналитики Servicepipe.

В то же время главную угрозу представляли боты, используемые конкурентами, которые с их помощью автоматически собирали данные о товарах, ценах, скидках и других характеристиках, чтобы корректировать собственную ценовую политику.

Такая активность создавала значительную нагрузку на инфраструктуру электронной коммерции.

Руководитель аналитического отдела Servicepipe Антон Чемякин сообщил, что частота бот-запросов достигала 750 тысяч в минуту. Злоумышленники рассчитывали на снижение бдительности компаний в праздничные дни, когда многие службы защиты работают в сокращенном режиме.

По данным компании Curator, самая масштабная атака произошла 31 декабря, когда было заблокировано 12,5 миллиона бот-запросов. Наибольший интерес злоумышленников вызвали онлайн-магазины алкогольной продукции.