JFrog 披露PJSIP開源多媒體通訊庫的五個漏洞

編輯：左右裡

3月1日，DevOps平臺提供商JFrog安全研究團隊披露了PJSIP中的五個安全漏洞，攻擊者可以利用這些漏洞在執行使用該庫的應用程式的裝置上執行任意程式碼，或致使拒絕服務。

PJSIP 是一個用 C 語言編寫的開源多媒體通訊庫，實現了基於標準的協議，如SIP、SDP、RTP、STUN、TURN 和 ICE。它將信令控制協議SIP與豐富的多媒體通訊框架及NAT穿越功能結合到可移植的高階API中，幾乎適用於現今所有系統，如桌面系統、嵌入式系統、移動手持裝置。

PJSIP 支援音訊、視訊、狀態呈現和即時通訊，且具有完善的文件，對開發者比較友好，許多流行的通訊應用程式都使用該庫。據JFrog 所說，其中包括WhatsApp、BlueJeans和Asterisk。

根據SIP/IPPBX通訊平臺Asterisk公佈的資料，該軟體每年下載200萬次，並在170個國家的100萬臺伺服器上執行。Asterisk為IP PBX 系統、VoIP 閘道器和會議伺服器提供支援，並被中小企業、呼叫中心、運營商和政府使用。

以下是在PJSIP庫中發現的漏洞列表：

其中三個漏洞是堆疊溢位漏洞，可能導致遠端程式碼執行。其餘兩個漏洞是PJSUA API 中的越界讀取漏洞和緩衝區溢位漏洞，這兩者都可能導致拒絕服務。

"如果被利用，這些漏洞能夠讓攻擊者通過視訊通話來破壞使用該庫的應用程式，"Cycode的聯合創始人兼技術長Ronen Slavin指出， "這將觸發堆記憶體溢位，這可能會允許攻擊者接管受害者的視訊通話帳戶。”

JFrog 建議將 PJSIP 升級到 2.12 版本以解決此問題。

資訊來源：JFrog Security

轉載請註明出處和本文連結

每日漲知識

Dom型XSS

客戶端的指令碼程式可以動態地檢查和修改頁面內容，而不依賴於伺服器端的資料。例如客戶端如從URL中提取資料並在本地執行，如果使用者在客戶端輸入的資料包含了惡意的JavaScript指令碼，而這些指令碼沒有經過適當的過濾，那麼應用程式就可能受到DOM-based XSS攻擊。

推薦文章++++

* 蘋果暫停在俄羅斯的所有產品銷售，停止出口並限制Apple Pay

* 日本豐田汽車因供應商遭網路攻擊被迫停產

* 烏克蘭招募黑客志願軍攻擊俄羅斯關鍵機構

* 白宮闢謠：美國不會為了援助烏克蘭而對俄羅斯發起大規模網路攻擊

* 網站被入侵、攻擊，相關企業要負責任嗎？

* 全球業務關閉，年收入百億物流公司Expeditors遭受網路攻擊

* 研究人員在Google Play商店發現新的銀行木馬

﹀

﹀

﹀