该网页截图来自Red Hat Bugzilla,包含了以下关于漏洞的关键信息: 漏洞编号:Bug 635775 (CVE-2010-3429) - CVE-2010-3429 漏洞类型:任意偏移量解除引用漏洞 (arbitrary offset dereference vulnerability) in flic video codec (oCERT-2010-004) 状态:CLOSED NOTABUG 产品:Security Response 组件:脆弱性 (vulnerability) 操作系统:Linux 优先级:低 (low) 严重性:低 (low) 报告日期:2010-09-20 17:01 UTC 由 Vincent Danen 报告 修改日期:2019-09-29 12:39 UTC 修复版本:无 附件:包含来自上游的补丁以修正问题 (patch from upstream to correct the issue),文件名为448516,大小4.49 KB 描述: - oCERT报告了一个漏洞,影响了ffmpeg中的flic视频编解码器支持。 - MPlayer包中的flic编解码器(flicvideo.c)在每个像素8位的flic视频中,由于不检查接收到的值,可能存在任意偏移量解除引用漏洞,可能被恶意远程攻击者利用。 - 漏洞可以通过打开特别制作的文件,跳转到任意代码来利用。 - 他们特别担心ffmpeg的加入在mplayer中。 - 受影响的文件(flicvideo.c)也存在于Fedora 12提供的libextractor中。 - 看起来Fedora中使用libextractor的唯一东西是doodle(本地搜索程序,如Spotlight)。 - 这将意味着用户必须下载一个特别制作的文件并将其存储在本地,并使用doodle索引文件。 - 不知道doodle是否会有问题,即如果它只是读取元数据,可能根本不会引起任何问题。 - 后续版本的libextractor已经移除了嵌入的ffmpeg源代码。 修复: - 该漏洞将在ffmpeg 0.6.1中修复。 - 现在已公开,修复漏洞的补丁位于 。 - 创建了libextractor跟踪该问题的错误报告,影响版本为fedora-12。 - 在libextractor中的ffmpeg支持已禁用,因为fedora中没有'mpeg2dec'要求。