VU#924114: dr_flac에는 정수 오버플로 취약점이 있어, 악의적인 파일을 제공할 때 서비스 거부(DoS) 공격을 허용합니다.
dr_libs 오디오 도구 세트 내의 오픈 소스 FLAC 디코더인 dr_flac은 정수 오버플로우 취약점에 취약합니다. 이 취약점은 CVE-2025-14369로 식별되었으며, 악성 FLAC 파일을 제작하여 악용될 수 있습니다. 이러한 파일을 dr_flac을 사용하는 도구에 제공하면 서비스 거부 상태를 유발하여 도구가 충돌할 수 있습니다. 핵심 문제는 FLAC 메타데이터를 기반으로 메모리 할당을 계산할 때 입력 유효성 검사가 부족하다는 것입니다. 이로 인해 과도한 메모리 할당이 발생하여 불안정성이 초래됩니다. 공격자는 이 결함을 이용하여 도구가 막대한 양의 메모리를 할당하도록 만들 수 있습니다. 이 문제는 이전 버전의 dr_flac을 사용하는 모든 시스템에 영향을 미칩니다. 취약점은 커밋 b2197b2에서 패치되었으며, 사용자는 즉시 업데이트해야 합니다. dr_flac을 업데이트하면 이 보안 버그의 악용을 방지할 수 있습니다. 이 취약점은 신뢰할 수 없는 FLAC 파일을 처리하는 모든 도구에 의해 트리거될 수 있습니다. 이 문제의 보고자는 Maor Caplan이며, 초기 문서는 Christopher Cullen이 작성했습니다.