LINUX.ORG.RU

Уязвимость в FFMpeg, позволяющая читать любые файлы в системе

 ,


6

6

Сотрудник Mail.ru Максим Андреев опубликовал информацию об уязвимости в популярном наборе свободных библиотек FFMpeg.

Если сформировать специальный видеофайл (расширение не имеет значения) и загрузить его на видеохостинг, то злоумышленник сможет прочесть любой файл на сервере. Если удастся каким-то образом заставить обычного пользователя скачать вредоносный файл (дать ему прямую ссылку, выложить на торрент-трекер), как минимум, можно узнать имя пользователя и какую-нибудь ещё непубличную информацию. В случае с Ubuntu FFmpeg передаст злоумышленнику первую строку указанного злоумышленником файла (например, /etc/passwd того пользователя, который просто скачал файл, даже не запуская его (FFMpeg в Ubuntu используется для создания превью, отображаемого в файловом менеджере).

Кроме того, уязвимости подвержены все видеопроигрыватели, использующие FFMpeg.

В качестве мер защиты предлагается запускать ffmpeg в изолированном окружении, либо ограничить ему доступ к сети.

>>> Подробности

anonymous

Проверено: JB ()
Последнее исправление: JB (всего исправлений: 1)

Я правильно понимаю, что уязвимость эксплуатируется только в том случае, если я сам передам злоумышленнику получившийся видеофайл? То есть с моего десктопа нельзя так просто через эту дыру украсть файлы?

proud_anon ★★★★★
()
Последнее исправление: proud_anon (всего исправлений: 1)
Ответ на: комментарий от false

Нет, не правильно

Почему? Я не вижу в оригинальной статье, как злоумышленник может заставить ffmpeg закачать файл куда-либо в сеть. ffmpeg может только скачать файл из сети (или с локального компьютера) и закодировать его в видео.

proud_anon ★★★★★
()
Ответ на: комментарий от proud_anon

Как же нет? Там ближе к концу обьясняется. Если для превьюшек(к примеру) у тебя юзается ffmpeg, то скачав файл к себе на компьютер, можно заставить ffmpeg прочитать содержимое произвольного файла с правами пользователя и отправить на адрес, который содержится в скачанном тобой файле

false ★★★★★
()
Ответ на: комментарий от proud_anon

нет, если злоумышленник передаст файл а ты сделаешь тамбнейл то у него будут твои файлы)

Slackware_user ★★★★★
()
Ответ на: комментарий от proud_anon

Нет, наоборот. Злоумышленник любым способом передаёт тебе вредоносный видеофайл. Как только ты его скачал и он просто отобразился в файловом менеджере - опаньки.

anonymous
()
Ответ на: комментарий от proud_anon

То есть с моего десктопа нельзя так просто через эту дыру украсть файлы?

Можно, если подсунуть тебе видеофайл, который на самом деле плейлист, ffmpeg при попытке создать превьюшку может обратиться на указанный в этом плейлисте сервер и передать на него указанный в этом же плейлисте файл, например /etc/passwd.

Xenius ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.