漏洞概述
dr_flac 是 dr_libs 工具集中的一个音频解码器,存在整数溢出漏洞。该漏洞源于程序在计算缓冲区大小前,未对 FLAC 元数据中的 totalPCMFrameCount 字段进行充分验证,攻击者可通过构造恶意文件触发该漏洞,导致使用该库的程序发生拒绝服务(DoS)。
漏洞详情
- CVE 编号:CVE-2025-14369
- 漏洞类型:整数溢出(Integer Overflow)
- CVSS 评分:暂无
- 影响版本:受影响版本为包含漏洞代码的 dr_flac 版本(具体版本范围未明确,建议参考修复提交)
影响范围
所有使用存在漏洞的 dr_flac 库进行 FLAC 音频解码的应用程序均可能受到影响,尤其是在处理不可信来源的音频文件时。
风险分析
攻击者可构造包含恶意 totalPCMFrameCount 值的 FLAC 文件,在目标程序解析该文件时触发整数溢出,进而可能导致内存分配错误、程序崩溃或拒绝服务,影响系统可用性。
修复建议
- 建议开发者升级至已修复该问题的 dr_libs 版本。官方已在 GitHub 提交修复补丁:b2197b2。
- 若无法立即升级,建议在调用 dr_flac 解码前对输入文件进行严格校验,或限制处理不可信来源的音频文件。
