В Банке данных угроз безопасности информации (BDU) появилась новая запись под номером BDU:2025-15389, которая описывает критическую уязвимость в мультимедийной платформе GPAC, широко используемой для обработки мультимедиа. Уязвимость, обнаруженная 23 апреля 2025 года, затрагивает функцию "gf_isom_copy_sample_info" в файле "media_tools/av_parsers.c" утилиты MP4Box. Данная проблема классифицируется как переполнение буфера в динамической памяти (CWE-122). Эксплуатация уязвимости может позволить удаленному злоумышленнику вызвать отказ в обслуживании или, что гораздо опаснее, выполнить произвольный код на целевой системе.
Детали уязвимости
Уязвимость получила высокие оценки по шкале CVSS, что подчеркивает ее серьезность. По версии CVSS 2.0 базовая оценка составляет 9.4, что соответствует высокому уровню опасности. По более современной шкале CVSS 3.1 оценка достигает 9.1, что уже классифицируется как критический уровень. Вектор атаки оценивается как сетевой, не требующий специальных привилегий или взаимодействия с пользователем. Следовательно, атака может быть осуществлена удаленно без каких-либо предварительных условий.
Основное уязвимое программное обеспечение - это прикладной пакет GPAC версии 2.4. Кроме того, под угрозой находятся системы, использующие дистрибутив Debian GNU/Linux, в который данный пакет включен. GPAC является популярным набором инструментов с открытым исходным кодом для обработки мультимедийного контента, а MP4Box - одна из его ключевых утилит для работы с MP4-файлами. Уязвимость возникает в процессе манипулирования структурами данных внутри функции парсинга.
По данным БДУ, способ эксплуатации уязвимости основан на манипулировании структурами данных. Злоумышленник может создать специально сформированный мультимедийный файл, который при обработке утилитой MP4Box вызовет переполнение буфера в динамической памяти. Это переполнение, в свою очередь, может быть использовано для повреждения данных, аварийного завершения работы программы или, в худшем случае, для выполнения произвольного вредоносного кода (malicious payload). Последний сценарий предоставляет атакующему практически полный контроль над системой.
Важно отметить, что, согласно отчету, эксплойт для данной уязвимости уже существует в открытом доступе. Это значительно повышает актуальность угрозы, поскольку снижает порог входа для потенциальных злоумышленников. Наличие работающего эксплойта в публичном пространстве часто приводит к волне атак в краткосрочной перспективе. Следовательно, администраторам систем необходимо действовать быстро.
Производитель программного обеспечения, сообщество GPAC, уже подтвердило наличие уязвимости и выпустило исправление. Уязвимость считается устраненной. Основной способ устранения риска - немедленное обновление программного обеспечения до версии, содержащей патч. Разработчики предоставили рекомендации по устранению, ссылаясь на конкретный коммит в репозитории GitHub, где был исправлен проблемный код. Пользователям настоятельно рекомендуется обратиться к этому источнику.
Для пользователей дистрибутива Debian GNU/Linux обновление, как правило, можно получить через стандартные репозитории пакетов после того, как сопровождающие Debian интегрируют исправление. Рекомендуется следить за обновлениями безопасности для пакета "gpac" и устанавливать их без задержки. Поскольку уязвимость позволяет выполнение кода, она может быть использована как точка входа для более сложных атак, включая установку программ-вымогателей (ransomware) или обеспечение постоянного доступа (persistence) в систему.
В контексте современных угроз подобные уязвимости в широко распространенных инструментах обработки мультимедиа представляют особую опасность. Файлы формата MP4 повсеместно распространены, и утилиты для их обработки часто работают автоматически в различных фоновых процессах и сервисах. Это делает атаку потенциально масштабируемой. Более того, успешная эксплуатация может стать первым этапом в цепочке атаки по методологии MITRE ATT&CK, ведущим к полному компрометированию инфраструктуры.
Подводя итог, уязвимость BDU:2025-15389 в GPAC является критической угрозой безопасности. Она обладает высоким потенциалом для удаленного выполнения кода, имеет публично доступный эксплойт и затрагивает популярное программное обеспечение. Единственной эффективной мерой защиты является оперативное применение официального патча от разработчиков. Игнорирование данного обновления подвергает системы значительному риску компрометации. Специалистам по безопасности рекомендуется проверить все системы на наличие уязвимой версии GPAC и обеспечить ее обновление в приоритетном порядке.
Ссылки
- https://bdu.fstec.ru/vul/2025-15389
- https://github.com/gpac/gpac/issues/3190
- https://github.com/gpac/gpac/commit/cea49f684dbc4d53ecd6c76a9623838802a68d88
