Hai lỗ hổng thực thi mã nghiêm trọng trong FFmpeg: CVE-2024-22860 & CVE-2024-22862

WhiteHat News #ID:2018

WhiteHat Support
20/03/2017
129
439 bài viết
Hai lỗ hổng thực thi mã nghiêm trọng trong FFmpeg: CVE-2024-22860 & CVE-2024-22862
Dự án nguồn mở miễn phí được sử dụng rộng rãi để xử lý các tệp đa phương tiện Ffmpeg (video, âm thanh, luồng media...) đang tồn tại ba lỗ hổng, hai trong số đó được đánh giá ở mức nghiêm trọng.

FFmpeg-2.png

Hai lỗ hổng có mã định là CVE-2024-22860 và CVE-2024-22862, với điểm CVSS 9,8 đều là các lỗ hổng tràn số nguyên khiến FFmpeg bị tấn công thực thi mã từ xa. Cụ thể CVE-2024-22860 cho phép tấn công qua thành phần jpegxl_anim_read_packet trong trình giải mã JPEG XL Animation. Còn CVE-2024-22860 là qua JJPEG XL Parser.

Lỗ hổng còn lại CVE-2024-22861, có điểm CVSS 7,5, có thể dẫn đến tấn công từ chối dịch vụ thông qua mô-đun avcodec/osq.

Ffmpeg đã phát hành phiên bản n6.1 để vá các lỗ hổng này. Người dùng được khuyến cáo nâng cấp lên phiên bản này để tránh bị tấn công.

 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
cve-2024-22860 cve-2024-22862
Bên trên