The GitHub Blog
·
Uncovering GStreamer secrets
💡
原文约2400字/词,阅读约需9分钟。
📝
内容提要
本文对GStreamer进行了安全研究,发现29个新漏洞,主要集中在MKV和MP4格式。研究者通过生成自定义输入数据集提升模糊测试效果,识别出多种潜在攻击向量。GStreamer作为开源多媒体框架,在Linux系统中广泛应用,存在重要安全隐患。
🎯
关键要点
- 本文对GStreamer进行了安全研究,发现29个新漏洞,主要集中在MKV和MP4格式。
- 研究者通过生成自定义输入数据集提升模糊测试效果,识别出多种潜在攻击向量。
- GStreamer是一个开源多媒体框架,广泛应用于Linux系统,存在重要安全隐患。
- 研究中发现的漏洞包括OOB写入、栈缓冲区溢出和空指针解引用等。
- 模糊测试在C/C++项目中已成为发现漏洞的主要工具,但多媒体文件的大小使得模糊测试效率低下。
- 研究者选择从头生成输入数据集,以提高模糊测试的速度和效果。
- MP4格式是广泛使用的多媒体容器格式,支持多种媒体类型的打包。
- MP4文件结构为树状,每个节点对应一个MP4盒子,研究者通过生成随机树来创建输入数据。
- 生成的输入文件数量约为400万个,显著提高了模糊测试的覆盖率和漏洞发现率。
- 感谢GStreamer开发团队的合作和快速的漏洞修复。
➡️
