发布日期：2019-07-10
更新日期：2019-07-10

受影响系统：

FFmpeg FFmpeg 4.1

描述：

---

BUGTRAQ  ID: 107384
CVE(CAN) ID: CVE-2019-9721

FFmpeg是FFmpeg team开发的一套可以用来记录、转换数字音频、视频，并能将其转化为流的开源计算机程序。
FFmpeg 4.1版本中存在拒绝服务漏洞，该漏洞源于子标题解码器的libavcodec/htmlsubtitles.c文件的handle_open_brace向sscanf传递了一个复杂的格式参数，攻击者可借助Matroska格式的特制视频文件利用该漏洞占用CPU资源，导致拒绝服务。

<*来源：FFmpeg team
  
  链接：https://git.ffmpeg.org/gitweb/ffmpeg.git/commit/894995c41e0795c7a44f81adc4838dedc3932e65
*>

建议：

---

厂商补丁：

FFmpeg
------
FFmpeg已经为此发布了一个安全公告（CVE-2019-9721）以及相应补丁:
CVE-2019-9721：avcodec/htmlsubtitles: Fixes denial of service due to use of  sscanf in inner loop for tag scaning
链接：https://git.ffmpeg.org/gitweb/ffmpeg.git/commit/894995c41e0795c7a44f81adc4838dedc3932e65

补丁下载：

浏览次数：1078
严重程度：0（网友投票）