Kaynak açık video kodek OpenH264 ciddi bir güvenlik açığından etkilenir. Saldırganları malikcode fedakarlık etmek için kötüye kullanabilirsiniz.
Reklamcılık
GitHub projesinde Cisco bir güvenlik bildirimi yayınladı ve içindeki ayrıntıları tartıştı. Ağdaki saldırganlar, önceden kimlik doğrulaması olmadan HAP tabanlı bir arabellek taşmasını kışkırtabilir. Bu, video akışlarını işlerken bir yarış durumuna geri döner. Bu sadece dikkatle hazırlanmış bir ısırık akışı olan saldırganlar tarafından kullanılabilir-manipüle edilmiş bir video dosyası-şikayet sadece kurbanları “kurbanın kod çözme müşterisinde beklenmedik bir kazayı tetiklemek için ve muhtemelen kurbanın herhangi bir komutu için Taşınmanın kötüye kullanılması için bilgisayar “(CVE 2025-27091, CVSS 8.6Risk “yüksek“).
OpenH264: Etkilenen tüm modlar
OpenH264, videoların birkaç bit hızıyla kodlandığı ölçeklenebilir video kodlamayı (SVC) ve tek tek video akışları için Gelişmiş Video Kodlama (AVC) modunu destekler. Zayıf nokta her iki modda da meydana gelir.
Zayıf nokta, 2.5.0 ve daha büyük sürümdeki OpenH264'ü etkiler. Sürüm 2.6.0 artık GitHub'da, artık güvenlik açığını içermeyen.
Firefox savunmasız
Firefox web tarayıcısı, 2014 yılında Firefox 33 yayınlanmasından bu yana CISCOS OpenH264 getiriyor. Bir destek katkısında, Mozilla Vakfı, tarayıcıdaki kodeklerin, H264 kodekleri gibi WebRTC akımlarını etkinleştirmek için kullanıldığını açıklar. işletim sistemi. Mozilla, Windows-N sürümlerini bu tür kodekler olmadan gelen örnekler veya Ubuntu gibi Linux dağıtımları, bu tür kodekleri yalnızca “ubuntu-kısıtlı ekstralar” gibi daha spesifik depolardan yüklemesi gereken verir.
Firefox, OpenH264'ü savunmasız bir versiyonda getiriyor.
(Resim: Ekran görüntüsü / DMK)
“Eklentiler” menü öğesi “Eklenti ve Temalar” altındaki Ayarlar menüsünde bulunabilir. “OpenH264” ü tıklama, şu anda verilen sürümü ayarları ve gösterir. OpenH264 sürüm 2.3.2 şu anda Temmuz 2023'ten itibaren Firefox 135.0.1'de. Hata -Firefox için ayarlanmış, duyarlı olmayan bir kütüphane sürümü teslim edilir.
(DMK)
Reklamcılık
GitHub projesinde Cisco bir güvenlik bildirimi yayınladı ve içindeki ayrıntıları tartıştı. Ağdaki saldırganlar, önceden kimlik doğrulaması olmadan HAP tabanlı bir arabellek taşmasını kışkırtabilir. Bu, video akışlarını işlerken bir yarış durumuna geri döner. Bu sadece dikkatle hazırlanmış bir ısırık akışı olan saldırganlar tarafından kullanılabilir-manipüle edilmiş bir video dosyası-şikayet sadece kurbanları “kurbanın kod çözme müşterisinde beklenmedik bir kazayı tetiklemek için ve muhtemelen kurbanın herhangi bir komutu için Taşınmanın kötüye kullanılması için bilgisayar “(CVE 2025-27091, CVSS 8.6Risk “yüksek“).
OpenH264: Etkilenen tüm modlar
OpenH264, videoların birkaç bit hızıyla kodlandığı ölçeklenebilir video kodlamayı (SVC) ve tek tek video akışları için Gelişmiş Video Kodlama (AVC) modunu destekler. Zayıf nokta her iki modda da meydana gelir.
Zayıf nokta, 2.5.0 ve daha büyük sürümdeki OpenH264'ü etkiler. Sürüm 2.6.0 artık GitHub'da, artık güvenlik açığını içermeyen.
Firefox savunmasız
Firefox web tarayıcısı, 2014 yılında Firefox 33 yayınlanmasından bu yana CISCOS OpenH264 getiriyor. Bir destek katkısında, Mozilla Vakfı, tarayıcıdaki kodeklerin, H264 kodekleri gibi WebRTC akımlarını etkinleştirmek için kullanıldığını açıklar. işletim sistemi. Mozilla, Windows-N sürümlerini bu tür kodekler olmadan gelen örnekler veya Ubuntu gibi Linux dağıtımları, bu tür kodekleri yalnızca “ubuntu-kısıtlı ekstralar” gibi daha spesifik depolardan yüklemesi gereken verir.
Firefox, OpenH264'ü savunmasız bir versiyonda getiriyor.
(Resim: Ekran görüntüsü / DMK)
“Eklentiler” menü öğesi “Eklenti ve Temalar” altındaki Ayarlar menüsünde bulunabilir. “OpenH264” ü tıklama, şu anda verilen sürümü ayarları ve gösterir. OpenH264 sürüm 2.3.2 şu anda Temmuz 2023'ten itibaren Firefox 135.0.1'de. Hata -Firefox için ayarlanmış, duyarlı olmayan bir kütüphane sürümü teslim edilir.
(DMK)