Axiomatic Bento4基于堆的溢出漏洞CVE-2025-0870

Bento4是一个强大C++库和工具集，专为读取和写入ISO-MP4文件设计，格式由国际标准ISO/IEC 14496-12，14496-14和14496-15定义。

一、基本情况

Bento4格式是Apple Quicktime文件格式的衍生物，采用Open Source许可证并提供双许可模式，也可读取和写入大多数Quicktime文件。

Bento4 还支持解析和复用 H.264 和 H.265 基本流、将 ISO-MP4 转换为 MPEG2-TS、打包 HLS 和 MPEG-DASH、内容加密、解密等等。

栋科技漏洞库关注到Axiomatic Bento4受影响版本之前发现了一个严重漏洞，漏洞现被追踪为CVE-2025-0870，漏洞的CVSS评分为5.6。

二、漏洞分析

CVE-2025-0870漏洞是在 Axiomatic Bento4 的 1.6.0-641 版本之前发现的漏洞，漏洞可能导致基于堆的缓冲区溢出且攻击可能远程发起。

该漏洞影响库中的Ap4DataBuffer.h文件中的 AP4_DataBuffer::GetData 函数功能，且值得注意的是该漏洞已被公开披露，很可能被利用。

该安全漏洞可能导致基于堆的缓冲区溢出，其中可以覆盖的缓冲区分配在内存的堆部分中，通常意味着使用Malloc()等例程分配缓冲区。

三、影响范围

Axiomatic Bento4 版本1.6.0-641

四、修复建议

该产品采用滚动发布方式提供持续交付，因此没有提供受影响版本或更新版本的详细信息。

五、参考链接

此处内容已隐藏，评论后刷新即可查看！