В FFmpeg – наборе библиотек для записи, конвертации и передачи цифровых аудио- и видеофайлов - была выявлена уязвимость раскрытия важной информации.
С помощью уязвимости удаленный злоумышленник может раскрывать содержимое файлов, хранящихся на компьютере жертвы, и пересылать похищенные данные по сети.
Брешь была обнаружена 12 января специалистом компании Mail.ru Максимом Андреевым. Источником существования является ошибка в реализации протокола HTTP Live Streaming, который делает возможной трансляцию медиаконтента по HTTP. С помощью специально сформированного списка воспроизведения, имеющего измененное расширение, хакер может провести SSRF-атаку.
Модификация данного файла даст злоумышленнику возможность в ходе SSRF-атаки читать ответы на любые сетевые запросы. В ходе обработки файла FFmpeg сгенерирует видеоролик, который будет содержать HTML-код из ответа сервера.
Создатели FFmpeg уже начали работу над исправлением уязвимости, до появления которого рекомендуется ограничить либо отключить доступ к сети для FFmpeg, или осуществлять запуск набора библиотек в изолированном окружении.