最近有白(bái)帽在HackerOne平台上報了ffmpeg漏洞,該漏洞利用ffmpeg的HLS播放(fàng)列表處理方式,可導緻本地文件曝光。
漏洞描述
6月24日,HackerOne平台名爲neex的白(bái)帽子針對俄羅斯最大(dà)社交網站VK.com上報了該漏洞,并因此獲得1000美元獎金。
ffmpeg可處理HLS播放(fàng)列表,而播放(fàng)列表中(zhōng)已知(zhī)可包含外(wài)部文件的援引。neex表示他借由該特性,利用avi文件中(zhōng)的GAB2字幕塊,可以通過XBIN codec獲取到視頻(pín)轉換網站的本地文件。
6月25日,另一(yī)位白(bái)帽子Corben Douglas (@sxcurity)表示他在看過neex的報告後進一(yī)步研究了ffmpeg,他針對發現的漏洞寫了完整的重現過程,利用包含外(wài)部文件援引的HLS播放(fàng)列表,導緻可任意讀取本地文件。
影響範圍
漏洞盒子技術人員(yuán)測試發現,FFmpeg 3.2.2、3.2.5和2.6.8版本均存在該漏洞,其它版本未經系統性測試,請按漏洞檢測腳本進行自行排查。
漏洞盒子技術人員(yuán)表示,該漏洞可導緻讀取本地任意文件,危害較大(dà)。經研究人員(yuán)驗證,Google,Yahoo,Youtube等門戶、視聽(tīng)網站以及支持流轉碼服務的業務已被曝出存在該漏洞。國内支持流轉碼的網站也可能有存在該漏洞的風險,請速排查。
修複方案
1.請升級受影響版本至FFmpeg 3.3.2版本
2.将file://等危險協議類型添加到黑名單
上一(yī)篇:不聯網就安全了?CIA一(yī)樣黑掉那些本地數據
下(xià)一(yī)篇:企業抗D十招:防禦DDoS攻擊需要多管齊下(xià)