【安全资讯】CVE-2024-7272: FFmpeg发现严重堆溢出漏洞，PoC已发布

概要：

FFmpeg是全球领先的多媒体框架，能够解码、编码和流式传输几乎所有格式。近日，FFmpeg被发现存在一个严重的安全漏洞CVE-2024-7272，影响到5.1.5版本及以下。该漏洞的CVSS评分为8.8，具有远程利用的潜力，威胁全球用户和系统。

主要内容：

FFmpeg的fill_audiodata函数位于/libswresample/swresample.c文件中，是该框架重采样功能的核心部分。该函数存在堆基缓冲区溢出漏洞，当数据写入超出分配的内存空间时，可能导致任意代码执行或拒绝服务（DoS）。

该漏洞的危险性在于其远程利用的潜力。攻击者可以远程触发堆溢出，并且安全研究员CookedMelon在GitHub上发布了漏洞利用代码，展示了一个概念验证（PoC），允许本地攻击者控制易受攻击的系统。该PoC不仅能执行任意代码，还能发起拒绝服务攻击，使受影响的系统无法操作。

FFmpeg广泛应用于各种平台，包括Linux、macOS、Windows、BSDs和Solaris，这加剧了CVE-2024-7272的潜在影响。由于FFmpeg在多媒体处理中的广泛使用，从流媒体服务到媒体转换器等，未打补丁的系统可能会产生深远的影响。

FFmpeg开发团队已对这一严重漏洞作出回应，敦促所有用户立即升级其安装版本。修补受影响的组件对于减轻此漏洞带来的风险至关重要。运行5.1.5版本及以下的用户特别容易受到攻击，应优先更新到安全版本以保护其系统免受潜在利用。对于开发人员和系统管理员，建议审查安全公告并立即实施必要的补丁。此外，验证FFmpeg部署的安全状况并确保所有组件都是最新的，对于防范此类漏洞至关重要。