:::
:::首頁 > 網路安全服務 > 政府網路危機處理中心 > 最新訊息
 
 
ICON 最新訊息 ICON 相關服務
ICON 中心簡介 ICON 相關網站
最新訊息
 
事件通告
分隔線
3ivx MPEG-4 被發現含有緩衝區溢位的弱點,請勿開啟不明的MP4 檔案,以免受駭!(2007/12/21)
 
詳細描述:
3ivx MPEG-4 是3ivx 公司所開發的軟體,此軟體支援Video /Audio 的錄放、編解碼、分割、壓縮以及轉檔等功能。

此弱點是由於3ivx MPEG-4 中的3ivxDSMediaSplitter.ax 元件,在處理MP4 檔案中某些特定的atoms (©art ,©nam ,©cmt ,©des ,©cpy) 時,會使記憶體發生錯誤(Boundary error) ,而造成堆疊(stack-based) 緩衝區溢位。惡意人士可藉由引誘使用者打開惡意的MP4 檔案,藉以觸發此弱點造成緩衝區溢位,便可以遠端執行任意程式碼,或是讓電腦當機。

這個弱點已證實會影響3ivx MPEG-4 5.0.1 的版本,但其他版本以及使用3ivx MPEG-4 解碼器的應用程式(例如:Windows Media Player version 6.4.09.1130 、Media Player Classic version 6.4.9.0) 可能也會受到影響。

目前已出現針對此弱點攻擊的程式碼,且3ivx 公司尚未推出修補程式,中華電信SOC 建議使用者不要瀏覽不明網站或開啟未知的MP4 檔案,以免受駭。

參考資料:

 
 
下框