发布日期：2019-07-10
更新日期：2019-07-10

受影响系统：

FFmpeg FFmpeg 4.1

描述：

---

BUGTRAQ  ID: 107382
CVE(CAN) ID: CVE-2019-9718

FFmpeg是FFmpeg team开发的一套可以用来记录、转换数字音频、视频，并能将其转化为流的开源计算机程序。
FFmpeg中存在拒绝服务漏洞，该漏洞源于FFmpeg 4.1版本中的字幕解码器的libavcodec/htmlsubtitles.c文件的ff_htmlmarkup_to_ass向sscanf传递了一个复杂的格式参数，攻击者可借助Matroska格式的特制视频文件利用该漏洞占用CPU资源，导致拒绝服务。

<*来源：FFmpeg team
  
  链接：https://git.ffmpeg.org/gitweb/ffmpeg.git/commit/1f00c97bc3475c477f3c468cf2d924d5761d0982
*>

建议：

---

厂商补丁：

FFmpeg
------
FFmpeg已经为此发布了一个安全公告（CVE-2019-9718）以及相应补丁:
CVE-2019-9718：avcodec/htmlsubtitles: Fixes denial of service due to use of  sscanf in inner loop for tag scaning
链接：https://git.ffmpeg.org/gitweb/ffmpeg.git/commit/1f00c97bc3475c477f3c468cf2d924d5761d0982

补丁下载：

浏览次数：973
严重程度：0（网友投票）