发布日期：2007-06-29
更新日期：2007-07-02

受影响系统：

flac-tools flac123 0.0.9

不受影响系统：

flac-tools flac123 0.0.10

描述：

---

BUGTRAQ  ID: 24712

flac123是用于播放FLAC音频文件的命令行工具。

flac123在处理畸形格式的音频文件时存在漏洞，攻击者可能通过诱使用户打开处理恶意文件来控制用户机器。

flac123的vorbiscomment.c文件中的local__vcentry_parse_value()函数没有正确地处理超长的value_length值，如果用户受骗打开恶意的音频文件的话，就可能在memcpy()期间溢出dest缓冲区，导致执行任意指令。

<*来源：David Thiel （lx@redundancy.redundancy.org）
  
  链接：http://marc.info/?l=bugtraq&m=118313311111204&w=2
*>

建议：

---

厂商补丁：

flac-tools
----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://downloads.sourceforge.net/flac-tools/flac123-0.0.10.tar.gz?modtime=1182956335&big_mirror=0

浏览次数：2629
严重程度：0（网友投票）