FFMpeg 3.1.3修复来自支付宝unLimit Security Team的高危漏洞

近日，FFMpeg3.1.3发布，并修复了高危漏洞CVE-2016-6920。该漏洞由支付宝移动安全团队unLimit Security Team发现上报并协助修复。 FFMpeg 是一套可以用来记录、转换数字音频、视频，并能将其转化为流的开源计算机程序，包括了目前领先的音/视频编码库 libavcodec。据悉很多软件及系统中，包括现在很多主流的移动端APP采用了FFMpeg，意味着大量的软件及系统都被暴露于网络攻击之下。 漏洞原理 支 付宝移动安全团队unLimitSecurity Team的安全研究员超六，发现ffmpeg在解码exr文件时存在一个堆溢出漏洞，CVE编号为CVE-2016-6920。该漏洞存在于解析exr图 片文件时，程序对输入参数校验不严，可能导致任意地址写，并且写入数据部分可控。此漏洞在一定条件下能导致任意地址写。 漏洞修复 ffmpeg3.1.3中已修复该漏洞（https://ffmpeg.org/security.html），建议使用ffmpeg处理exr文件的软件及系统尽快升级至最新版。 漏洞修复如下 （https://github.com/FFmpeg/FFmpeg/commit/01aee8148d4fa439cce678a11f5110656c98de1f）

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/