Fmpeg惊爆漏洞:环信现有用户完全不受此漏洞影响!
据国内媒体报道,近日全球领先的多媒体框架FFmpeg被曝出漏洞,通过该漏洞可在播放漏洞视频或在转码过程中触发本地文件,读取获得指定文件。FFmpeg已于4月发布更新,但仍有大量Android及iOS APP使用该开源程序用于播放功能。因为开放源码的便利性和强大的多媒体功能,FFmpeg被广泛用于Android及iOS APP的播放功能,百度云、爱奇艺视频、网易云音乐、斗鱼TV、疯狂猜词等多款手机用户常用的APP均使用了FFmpeg库文件,大量用户可能受此漏洞威胁。
使用率最高的FFmpeg文件库top10
市场占有率高真不是宝宝的错
360互联网安全中心对国内主流应用市场的124371款app进行扫描,发现有超过6000款应用受此漏洞影响,占到总数的5%,受影响APP类型涵盖各个类型,其中仅通讯社交、便捷生活、影音视听三类就占到一半以上,进一步对受漏洞影响的6314款app所使用的ffmepg库文件分析发现,使用率最高的libeasemod_jni.so属于环信SDK的库文件,排名第二的libcyberplay-core.so均为目前最流行的视频SDK,拥有千万级的用户量。
本地打开m3u8文件并使用FFmpeg解析时就会触发漏洞
该漏洞与HLS协议的.m3u8文件相关。攻击者可以制作一个特殊的.m3u8或其他视频文件,当ffmpeg播放此特殊文件时会把本地文件内容传送到远程服务器上。
环信SDK只使用FFmpeg作解码和录制之用,没有包含HLS相关功能,也没有对外提供任何播放视频文件的api,所以该漏洞对环信用户是没有任何影响的!
环信音视频专家通过跟360互联网安全中心工程师沟通发现,360互联网安全中心是通过检测FFmpeg版本号来判断app是否受此漏洞影响,由于环信SDK所用的FFmpeg版本较老,被360互联网安全中心误认为受此漏洞影响。
综上,环信现有用户完全不受此漏洞影响!!!环信现有用户完全不受此漏洞影响!!!环信现有用户完全不受此漏洞影响!!!重要事情说三遍!!!
后续环信的SDK也会接受360互联网安全中心建议升级到FFmpeg新版本。
漏洞新闻: http://www.ccstock.cn/finance/minshengxiaofei/2016-05-24/A1464060408687.html
俄罗斯工程师最先发现此漏洞新闻:https://habrahabr.ru/company/mailru/blog/274855/