VU#924114: dr_flac содержит уя... Заметка

VU#924114: dr_flac содержит уязвимость переполнения целого числа, которая позволяет выполнить атаку типа "отказ в обслуживании" при предоставлении сконструированного файла.

dr_flac, декодер FLAC с открытым исходным кодом из набора инструментов dr_libs, подвержен уязвимости переполнения целого числа. Эта уязвимость, идентифицированная как CVE-2025-14369, может быть использована путем создания вредоносных файлов FLAC. Предоставление такого файла инструменту, использующему dr_flac, может вызвать отказ в обслуживании, приводя к сбою инструмента. Основная проблема заключается в отсутствии проверки входных данных при расчете выделения памяти на основе метаданных FLAC. Это позволяет выделять чрезмерный объем памяти, что приводит к нестабильности. Злоумышленник может использовать этот недостаток, чтобы заставить инструмент выделять огромные объемы памяти. Проблема затрагивает любую систему, использующую старую версию dr_flac. Уязвимость была устранена в коммите b2197b2, который пользователи должны немедленно обновить. Обновление dr_flac предотвращает использование этой ошибки безопасности. Уязвимость может быть вызвана любым инструментом, обрабатывающим ненадежные файлы FLAC. Сообщил об этой проблеме Маор Каплан, а первоначальную документацию написал Кристофер Каллен.