OpenH264 Açık Video Codec, ciddi bir güvenlik açığından etkilenir. Hayvan kurbanlarını zorlamak için saldırganları kötüye kullanabilirsiniz.
Duyuru
GitHub projesinde Cisco bir güvenlik bildirimi yayınladı ve içindeki ayrıntıları tartıştı. Ağın saldırganları, önleyici kimlik doğrulamaya dayalı bir taşma taşmasına neden olabilir. Bu, video akışlarını işlerken hassas bir duruma dayanır. Bu sadece dikkatle hazırlanmış bir ısırık akışı olan saldırganlar tarafından kullanılabilir, örneğin şikayeti sadece kurbanları “kurbanın kodunu çözen müşterisinde beklenmedik bir kazayı tetiklemeye ve muhtemelen kurban bilgisayarının kurbanına herhangi bir komuta yönelik herhangi bir komuta denemek zorundadır. Taşınmanın kötüye kullanılmasını gerçekleştirmek için “(CVE 2025-27091, CVSS 8.6Risk “yüksek“).
OpenH264: İlgili tüm yöntemler
OpenH264, videoların farklı bit hızları ile kodlandığı ölçeklenebilir video kodlamayı (SVC) destekler ve bireysel video akışları için AVC Gelişmiş Video Kodlama Modu (AVC). Zayıf nokta her iki yöntemde de meydana gelir.
Zayıf nokta, 2.5.0 ve daha büyük sürümdeki OpenH264'ü etkiler. Sürüm 2.6.0 artık GitHub'da, artık güvenlik açığını içermeyen mevcuttur.
Firefox savunmasız
Firefox Web tarayıcısı Porta Ciscos OpenH264 2014 yılında yayınlanan Firefox 33'ten. Bir destek katkısında, Mozilla Vakfı, tarayıcıdaki kodeklerin bir H264 kodekinde mevcut olmasa bile WebRTC akımlarına izin vermek için kullanıldığını açıklar. işletim sistemi. Mozilla, Windows-N sürümlerini, bu tür kodekler veya Ubuntu gibi Linux dağıtımları olmadan gelen örnekler olarak, bu daha spesifik depoları yalnızca “Ubuntu'dan ekstra kısıtlamalar” olarak yüklemelidir.
Firefox Porta OpenH264 savunmasız bir versiyonda.
(Resim: Ekran görüntüsü / DMK)
“Eklenti” menü öğesi “Ekleme ve Temalar” daki Ayarlar menüsünde mevcuttur. “OpenH264” ü tıklama, şu anda verilen sürümü ayarları ve gösterir. OpenH264 Sürüm 2.3.2 şu anda Temmuz 2023'ten itibaren Firefox 135.0.1'de. Firefox için güvenilir olmayan ve duyarlı olmayan bir kütüphanenin sürümünü sundu.
(DMK)
Duyuru
GitHub projesinde Cisco bir güvenlik bildirimi yayınladı ve içindeki ayrıntıları tartıştı. Ağın saldırganları, önleyici kimlik doğrulamaya dayalı bir taşma taşmasına neden olabilir. Bu, video akışlarını işlerken hassas bir duruma dayanır. Bu sadece dikkatle hazırlanmış bir ısırık akışı olan saldırganlar tarafından kullanılabilir, örneğin şikayeti sadece kurbanları “kurbanın kodunu çözen müşterisinde beklenmedik bir kazayı tetiklemeye ve muhtemelen kurban bilgisayarının kurbanına herhangi bir komuta yönelik herhangi bir komuta denemek zorundadır. Taşınmanın kötüye kullanılmasını gerçekleştirmek için “(CVE 2025-27091, CVSS 8.6Risk “yüksek“).
OpenH264: İlgili tüm yöntemler
OpenH264, videoların farklı bit hızları ile kodlandığı ölçeklenebilir video kodlamayı (SVC) destekler ve bireysel video akışları için AVC Gelişmiş Video Kodlama Modu (AVC). Zayıf nokta her iki yöntemde de meydana gelir.
Zayıf nokta, 2.5.0 ve daha büyük sürümdeki OpenH264'ü etkiler. Sürüm 2.6.0 artık GitHub'da, artık güvenlik açığını içermeyen mevcuttur.
Firefox savunmasız
Firefox Web tarayıcısı Porta Ciscos OpenH264 2014 yılında yayınlanan Firefox 33'ten. Bir destek katkısında, Mozilla Vakfı, tarayıcıdaki kodeklerin bir H264 kodekinde mevcut olmasa bile WebRTC akımlarına izin vermek için kullanıldığını açıklar. işletim sistemi. Mozilla, Windows-N sürümlerini, bu tür kodekler veya Ubuntu gibi Linux dağıtımları olmadan gelen örnekler olarak, bu daha spesifik depoları yalnızca “Ubuntu'dan ekstra kısıtlamalar” olarak yüklemelidir.
Firefox Porta OpenH264 savunmasız bir versiyonda.
(Resim: Ekran görüntüsü / DMK)
“Eklenti” menü öğesi “Ekleme ve Temalar” daki Ayarlar menüsünde mevcuttur. “OpenH264” ü tıklama, şu anda verilen sürümü ayarları ve gösterir. OpenH264 Sürüm 2.3.2 şu anda Temmuz 2023'ten itibaren Firefox 135.0.1'de. Firefox için güvenilir olmayan ve duyarlı olmayan bir kütüphanenin sürümünü sundu.
(DMK)