Security Advisory
Microsoft 漏洞调查通报 MSVR12-017
FFmpeg Libavcodec 中的漏洞可能允许执行任意代码
发布时间: 2012年10月16日
版本: 1.0
概述
摘要
Microsoft 提供了通知,阐述发现并修复了 FFmpeg 解码器库软件版本 0.10 及更早版本中的三个漏洞。Microsoft 通过协调漏洞披露渠道发现了该漏洞,并向受影响的供应商 FFmpeg 披露了该漏洞。FFmpeg 已经修复了其软件中的漏洞。
FFmpeg libavcodec 解析 ASF、QT 和 WMV 文件的方式中存在漏洞。这些漏洞允许执行任意代码,可能导致 libavcodec 中的内存损坏问题。成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,成功利用此漏洞的攻击者便可完全控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。
Microsoft 漏洞调查小组向 FFmpeg 报告了这些漏洞,并与其展开协作,以确保进行修复。在“常见漏洞和披露”列表中为这些漏洞分配了 CVE 条目 - CVE-2012-5359、CVE-2012-5360 和 CVE-2012-5361。有关详细信息(包括有关来自 FFmpeg 的更新的信息),请参阅 FFmpeg 下载页面。
缓解因素
- 这些漏洞无法通过电子邮件自动加以利用。用户必须打开电子邮件附件,以电子邮件为载体的攻击才会得逞。
- 在基于 Web 的攻击情形中,攻击者可能拥有一个网站,并在上面放置用来利用其中任何一个漏洞的特制文件。另外,接受或宿主用户提供的内容或广告的网站以及受到破坏的网站可能包含可能利用这些漏洞的特制内容。但是在所有情况下,攻击者无法强制用户访问此类网站。相反,攻击者必须诱使用户访问该网站,所采用的方式通常是让用户单击电子邮件或 Instant Messenger 消息中指向攻击者网站的链接,然后诱使他们打开特制文件。
- 成功利用这些漏洞的攻击者可以获得与当前用户相同的用户权限。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
通报详细信息
目的和建议
通报目的: 通知用户存在漏洞及其补救措施。
通报状态: 已发布通报。
建议: 查看建议措施部分并根据需要进行配置。
问题参考
有关此问题的详细信息,请参阅以下参考:
| 参考 | 标识 |
|---|---|
| 常见漏洞和披露 | CVE-2012-5359 CVE-2012-5360 CVE-2012-5361 |
受影响和不受影响的软件
此通报讨论以下软件:
| 受影响的软件 |
|---|
| FFmpeg 0.10 及更早版本 |
| 不受影响的软件 |
| FFmpeg 0.11 |
| FFmpeg 1.0 |
常见问题
此通报的适用范围有多大?
此通报是与受影响的供应商协同发布的内容的一部分,告知用户存在一个安全问题,可能影响其系统。
这些是否属于需要 Microsoft 发布安全更新的安全漏洞?
否。这些漏洞已通过受影响的第三方供应商提供的更新进行了修复。该更新修复了受影响的软件表中列出的软件。
这些漏洞的影响范围有多大?
这些是远程执行代码漏洞。成功利用这些漏洞的攻击者可以获得与当前用户相同的用户权限。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
造成这些漏洞的原因是什么?
这些漏洞是由 FFmpeg 解析会造成内存损坏的特制 ASF、QT 和 WMV 文件的方式导致的。
攻击者可能利用这些漏洞执行什么操作?
成功利用其中任何一个漏洞的攻击者可以在当前用户的安全上下文中运行任意代码。如果当前用户使用管理用户权限登录,成功利用这些漏洞的攻击者便可完全控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
攻击者如何利用这些漏洞?
攻击者可能通过诱使用户使用受影响的 FFmpeg 版本打开特制文件来利用这些漏洞。通常,这些特制文件是通过社会工程技术在电子邮件中、即时消息或者网站上的下载链接传递的。没有用户交互,攻击者无法利用这些漏洞。
建议措施
请通过FFmpeg 下载页面更新至 FFmpeg 的最新版本。
其他信息
鸣谢
Microsoft 感谢下列人员或组织:
- Microsoft 的 Jeremy Brown 发现了该问题
免责声明
本通报中提供的信息“按原样”提供,没有任何形式的担保。Microsoft 不作任何明示或暗示保证,包括对适销性和针对特定目的的适用性的保证。Microsoft Corporation 或其供应商不对任何损害(包括直接的、间接的、偶然的、必然的损害,商业利润损失,或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。有些州不允许排除或限制必然或偶然损害的赔偿责任,因此上述限制可能不适用。
修订版本
- V1.0(2012 年 10 月 16 日): 已发布通报。
Built at 2014-04-18T13:49:36Z-07:00