漏洞預警 | FFmpeg曝任意文件讀取漏洞

發布日期:2017-06-28首頁 > 安全資(zī)訊

最近有白(bái)帽在HackerOne平台上報了ffmpeg漏洞,該漏洞利用ffmpeg的HLS播放(fàng)列表處理方式,可導緻本地文件曝光。

漏洞描述

6月24日,HackerOne平台名爲neex的白(bái)帽子針對俄羅斯最大(dà)社交網站VK.com上報了該漏洞,并因此獲得1000美元獎金。

ffmpeg可處理HLS播放(fàng)列表,而播放(fàng)列表中(zhōng)已知(zhī)可包含外(wài)部文件的援引。neex表示他借由該特性,利用avi文件中(zhōng)的GAB2字幕塊,可以通過XBIN codec獲取到視頻(pín)轉換網站的本地文件。

6月25日,另一(yī)位白(bái)帽子Corben Douglas (@sxcurity)表示他在看過neex的報告後進一(yī)步研究了ffmpeg,他針對發現的漏洞寫了完整的重現過程,利用包含外(wài)部文件援引的HLS播放(fàng)列表,導緻可任意讀取本地文件。

\

影響範圍

漏洞盒子技術人員(yuán)測試發現,FFmpeg 3.2.2、3.2.5和2.6.8版本均存在該漏洞,其它版本未經系統性測試,請按漏洞檢測腳本進行自行排查。

漏洞盒子技術人員(yuán)表示,該漏洞可導緻讀取本地任意文件,危害較大(dà)。經研究人員(yuán)驗證,Google,Yahoo,Youtube等門戶、視聽(tīng)網站以及支持流轉碼服務的業務已被曝出存在該漏洞。國内支持流轉碼的網站也可能有存在該漏洞的風險,請速排查。

修複方案

1.請升級受影響版本至FFmpeg 3.3.2版本

2.将file://等危險協議類型添加到黑名單