[ON] Уязвимость в OpenH264, позволяющая выполнить код при декодировании видео

[rssbot]

В проекте OpenH264, развивающем открытую реализацию видеокодека H.264, выявлена уязвимость (CVE-2025-27091), потенциально способная привести к выполнению кода при декодировании специально оформленного видео. Проблема проявляется в режимах SVC (Scalable Video Coding) и AVC (Advanced Video Coding), и вызвана состоянием гонки, приводящем к записи данных за пределы выделенного буфера. Уязвимость устранена в выпуске OpenH264 2.6.0. Проследить за появлением обновлений в дистрибутивах можно на следующих страницах: Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD.


Библиотека OpenH264 создана и сопровождается компанией Cisco и примечательная тем, что позволяет использовать технологии сжатия видео H.264 в сторонних продуктах без ограничений и отчислений, так как компания Cisco выступает лицензиатом организации MPEG-LA. Право на использование запатентованных технологий сжатия видео передаётся только для сборок, которые распространяются компанией Cisco, например, загружены с сайта Cisco. Подобная особенность используется в Firefox, openSUSE и Fedora для легального использования кодека H.264 - дистрибутивы поставляют пакет-обвязку, а Firefox включает плагин, которые содержат код для загрузки готовой сборки OpenH264 с сайта ciscobinary.openh264.org.










Источник: https://www.opennet.ru/opennews/art.shtml?num=62775
(opennet.ru, мини-новости)