VLC,其他媒體播放器使用的庫中修補了程式碼執行漏洞
Live Networks Inc修補了一個程式碼執行漏洞,該漏洞影響了思科Talos Intelligence Group的Lilith Wyatt公開的LIVE555流媒體庫的HTTP資料包解析功能。
LIVE555 RTSP伺服器庫由VLC和MPlayer等媒體播放器以及許多嵌入式裝置使用。此外,多媒體流庫用於開發客戶端和伺服器RTSP/RTCP/RTSP/SIP實現。
此外,開發人員可利用開源LIVE555流媒體C++庫建立能夠通過RTP/TCP和RTSP傳輸內容的應用程式,以及用於播放H.264,H.265,MPEG,VP8和DV的RTP視訊內容格式和MPEG,AAC,AMR,AC-3和Vorbis音訊格式。
“LIVE555 RTSP伺服器庫的HTTP資料包解析功能中存在可利用的程式碼執行漏洞,”ofollow,noindex">思科Talos的諮詢報告 稱。 “特製的資料包可能導致基於堆疊的緩衝區溢位,導致程式碼執行。攻擊者可以傳送資料包來觸發此漏洞。”
VLC和MPlayer是受CVE-2018-4013程式碼執行漏洞影響的一些應用程式
安全漏洞可被攻擊者利用,該攻擊者使用多個 "Accept:" 或 "x-sessioncookie"字串傳送資料包,這些字串旨在觸發lookForHeader函式中的緩衝區溢位,該函式解析HTTP標頭以通過HTTP隧道傳輸RTSP。
“LIVE555為其標準RTSP伺服器啟用的功能之一是能夠通過HTTP隧道傳輸RTSP,該服務由伺服器繫結的不同埠提供服務,通常為TCP 80,8000或8080,具體取決於主機可用的埠。“諮詢報告中也提到這個。
如Cisco Talos的TALOS-2018-0684諮詢中所述,收到CVE-2018-4013標識號的基於堆疊的緩衝區溢位漏洞已於10月10日向供應商披露。
隨後,Live Networks Inc於10月17日修補了安全問題,該漏洞在10月18日的一天後公開披露。
Linux公社的RSS地址 :https://www.linuxidc.com/rssFeed.aspx
本文永久更新連結地址:https://www.linuxidc.com/Linux/2018-10/154903.htm