LIVE555流媒体库中发现关键代码执行缺陷

安全研究人员在LIVE555流媒体库中发现了一个严重的代码执行漏洞—；这是正在使用的流行媒体播放器，以及一些嵌入式设备能够流媒体。

LIVE55流媒体，由现场网络开发和维护，是一组C++的公司和应用程序开发人员，用于通过开放的标准协议（如RTP/RTCP、RTSP或SIP）流媒体。
LIVE555流媒体库支持各种视频格式的流式传输、接收和处理，如MPEG、H.265、H.264、H.263+、VP8、DV和JPEG视频，以及几种音频编解码器，如MPEG、AAC、AMR、AC-3和Vorbis。

更新：Talos的安全研究人员在咨询中提到，LIVE555流媒体库支持服务器和客户端，许多著名的媒体软件（如VLC和MPlayer）在内部使用LIVE555流媒体库。
尽管研究人员没有说明流行的VLC播放器是否正在使用易受攻击的组件（服务器端库），但VLC的团队今天联系了THN，并澄清他们的媒体播放器应用程序仅在客户端使用LIVE555流媒体。

Cisco Talos Intelligence Group的研究员莉莉丝·怀亚特（Lilith Wyatt）发现了代码执行漏洞，该漏洞被追踪为CVE-2018-4013。该漏洞存在于LIVE555 RTSP的HTTP数据包解析功能中，该功能解析HTTP头，以便通过HTTP传输RTSP。

Cisco Talos的安全顾问表示：“精心编制的数据包可能会导致基于堆栈的缓冲区溢出，从而导致代码执行”。“攻击者可以发送数据包来触发此漏洞”。

Cisco Talos团队确认了Live Networks LIVE555媒体服务器版本0.92中的漏洞，但该团队认为该产品的早期版本中也可能存在安全问题。

Cisco Talos于10月10日向Live Network报告了该漏洞，并在10月17日发布安全补丁后于10月18日公开披露了该安全问题。