发布日期：2008-09-17
更新日期：2008-09-18

受影响系统：

AudioCoding FAAD2 2.6

描述：

---

BUGTRAQ  ID: 31219
CVE(CAN) ID: CVE-2008-4201

FAAD2是开放源码的MPEG-4和MPEG-2 AAC解码器。

FAAD2的faad2/frontend/main.c文件中的decodeMP4file()函数在读取解码器库所返回缓冲区的数据时存在堆溢出漏洞，如果用户通过命令行前端处理了恶意文件的话，就可以触发这个溢出，导致拒绝服务或执行任意指令。

<*来源：Peking University
  
  链接：http://www.frsirt.com/english/advisories/2008/2601
        http://security.gentoo.org/glsa/glsa-200811-03.xml
*>

建议：

---

厂商补丁：

Gentoo
------
Gentoo已经为此发布了一个安全公告（GLSA-200811-03）以及相应补丁:
GLSA-200811-03：FAAD2: User-assisted execution of arbitrary code
链接：http://security.gentoo.org/glsa/glsa-200811-03.xml

所有FAAD2用户都应升级到最新版本：

    # emerge --sync
    # emerge --ask --oneshot --verbose ">=3Dmedia-libs/faad2-2.6.1-r2"

AudioCoding
-----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.audiocoding.com/patch/main_overflow.diff

浏览次数：2288
严重程度：0（网友投票）