Xvid视频解码器DirectShow初始化逻辑堆溢出漏洞

日期: 2009/06/03 | 标签: | 阅读:31 发表评论 (0) 查看评论

受影响系统:

Xvid Xvid < 1.2.2

不受影响系统:

Xvid Xvid 1.2.2

描述:

BUGTRAQ  ID: 35158
CVE(CAN) ID: CVE-2009-0894

Xvid是一款流行的视频解码器。

Xvid视频解码器的DirectShow组件在处理初始化失败情况时存在逻辑错误,在创建贴图管线中的某个点如果出现了内存分配错误的话,就会使用错误的返回值,这最终允许攻击者使用指向了无效或已释放内存的数据结构继续解码视频。成功利用这个漏洞的攻击者可以触发堆溢出,导致执行任意代码。

<*来源:IBM X-Force
  
  链接:http://secunia.com/advisories/35274/
        https://www.it-isac.org/postings/cyber/alertdetail.php?id=4635&selyear=2009&menutype=menupublic
*>

建议:

厂商补丁:

Xvid
—-
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://cvs.xvid.org/cvs/viewvc.cgi/xvidcore/src/decoder.c?r1=1.80&r2=1.81

发表评论