GitHub 安全实验室的安东尼奥-莫拉莱斯(Antonio Morales)最近发布了一份报告,公布了 GStreamer 中的 29 个漏洞,GStreamer 是一个开源多媒体框架,广泛应用于 Ubuntu、Fedora 和 openSUSE 等 Linux 发行版。GStreamer 支持广泛的多媒体功能,包括音频和视频解码、字幕解析和媒体流。它与 Nautilus、GNOME Videos 和 Rhythmbox 等关键应用程序的集成使其成为许多系统的重要组件,也成为网络攻击者的诱人目标。莫拉莱斯在报告中解释说:“GStreamer 是一个大型库,包括 300 多个不同的子模块。在这项研究中,我决定只关注 Ubuntu 发行版默认包含的’Base’和’Good’插件。”这些插件支持 MP4、MKV、OGG 和 AVI 等流行编解码器,因此特别容易被利用。在已发现的 29 个漏洞中,大多数是在 MP4 和 MKV 格式中发现的。以下是一些最值得注意的漏洞:CVE-2024-47537:isomp4/qtdemux.c.中的越界(OOB)写入。CVE-2024-47538: vorbis_handle_identification_packet 中的堆栈缓冲区溢出。CVE-2024-47607: gst_opus_dec_parse_header 中的堆栈缓冲区溢出。CVE-2024-47615: gst_parse_vorbis_setup_packet 中的 OOB 写入。CVE-2024-47539:convert_to_s334_1a 中的 OOB 写入。这些漏洞包括 OOB 写入、堆栈缓冲区溢出和空指针取消引用,所有这些漏洞都可能允许攻击者执行任意代码、导致系统崩溃或外泄敏感信息。GStreamer 在桌面环境和多媒体应用程序中的广泛使用凸显了这些漏洞的严重性。莫拉莱斯称:“该库中的关键漏洞可以打开许多攻击载体。例如,恶意制作的媒体文件可以利用这些漏洞入侵用户系统。”为了发现这些漏洞,莫拉莱斯采用了一种新颖的模糊方法。由于大型媒体文件的大小和复杂性,传统的覆盖引导模糊器在处理大型媒体文件时往往会遇到困难。莫拉莱斯选择了一种定制方法: 他说:“我从头开始创建了一个输入语料生成器,”他介绍说,该技术生成了 400 多万个测试文件,专门用于发现 MP4 和 MKV 解析器中的罕见执行路径。我们敦促开发人员和用户尽快更新到最新的 GStreamer 补丁版本。
