Fmpeg惊爆漏洞：环信现有用户完全不受此漏洞影响!

 据国内媒体报道，近日全球领先的多媒体框架FFmpeg被曝出漏洞，通过该漏洞可在播放漏洞视频或在转码过程中触发本地文件，读取获得指定文件。FFmpeg已于4月发布更新，但仍有大量Android及iOS APP使用该开源程序用于播放功能。因为开放源码的便利性和强大的多媒体功能，FFmpeg被广泛用于Android及iOS APP的播放功能，百度云、爱奇艺视频、网易云音乐、斗鱼TV、疯狂猜词等多款手机用户常用的APP均使用了FFmpeg库文件，大量用户可能受此漏洞威胁。




使用率最高的FFmpeg文件库top10





市场占有率高真不是宝宝的错

360互联网安全中心对国内主流应用市场的124371款app进行扫描，发现有超过6000款应用受此漏洞影响，占到总数的5%，受影响APP类型涵盖各个类型，其中仅通讯社交、便捷生活、影音视听三类就占到一半以上，进一步对受漏洞影响的6314款app所使用的ffmepg库文件分析发现，使用率最高的libeasemod_jni.so属于环信SDK的库文件，排名第二的libcyberplay-core.so均为目前最流行的视频SDK，拥有千万级的用户量。






本地打开m3u8文件并使用FFmpeg解析时就会触发漏洞 

该漏洞与HLS协议的.m3u8文件相关。攻击者可以制作一个特殊的.m3u8或其他视频文件，当ffmpeg播放此特殊文件时会把本地文件内容传送到远程服务器上。

环信SDK只使用FFmpeg作解码和录制之用，没有包含HLS相关功能，也没有对外提供任何播放视频文件的api，所以该漏洞对环信用户是没有任何影响的!

环信音视频专家通过跟360互联网安全中心工程师沟通发现，360互联网安全中心是通过检测FFmpeg版本号来判断app是否受此漏洞影响，由于环信SDK所用的FFmpeg版本较老，被360互联网安全中心误认为受此漏洞影响。

综上，环信现有用户完全不受此漏洞影响！！！环信现有用户完全不受此漏洞影响！！！环信现有用户完全不受此漏洞影响！！！重要事情说三遍！！！

后续环信的SDK也会接受360互联网安全中心建议升级到FFmpeg新版本。


漏洞新闻： http://www.ccstock.cn/finance/minshengxiaofei/2016-05-24/A1464060408687.html

俄罗斯工程师最先发现此漏洞新闻：https://habrahabr.ru/company/mailru/blog/274855/