近日，白帽在HackerOne平臺上報了FFmpeg漏洞，該漏洞利用FFmpeg的HLS播放列表處理方式，可導致本地文件曝光，目前POC已經(jīng)公開，安全風險高危，為了確保您的業(yè)務(wù)正常，防止數(shù)據(jù)泄露，建議您盡快排查和升級。

FFmpeg是一個免費的多媒體框架,可以運行音頻和視頻多種格式的錄影、轉(zhuǎn)換、流功能,能讓用戶訪問幾乎所有視頻格式,包括mkv、flv、mov,VLC Media Player、Google Chrome瀏覽器都已經(jīng)支持。

具體詳情如下:

漏洞編號:

暫無

漏洞名稱:

FFmpeg曝任意文件讀取漏洞

官方評級:

高危

漏洞描述:

由于FFmpeg可處理HLS播放列表，而播放列表中已知可包含外部文件的援引。惡意攻擊者可以利用精心構(gòu)造的avi文件中的GAB2字幕塊，上傳構(gòu)造搞的avi視頻到使用FFmpeg的目標站點，可以通過XBIN codec獲取到視頻轉(zhuǎn)換網(wǎng)站的本地文件(例如:查看/etc/passwd文件內(nèi)容)，從而導致敏感數(shù)據(jù)信息泄露。

漏洞利用條件和方式:

遠程利用

漏洞影響范圍:

FFmpeg 2.6.8
FFmpeg 3.2.2
FFmpeg 3.2.5
漏洞檢測:

確認是否使用了受影響版本

漏洞修復建議(或緩解措施):

目前官方最新版本為3.3.2，建議用戶更新到最新版本
將file://等危險協(xié)議類型添加到黑名單,禁止讀取高風險文件信息

情報來源:

http://www.freebuf.com/vuls/138377.html
https://hackerone.com/reports/242831