OpenH264 编解码器库存在漏洞，影响 2.5.0 及更早版本

开源视频编解码器 OpenH264 受到严重安全漏洞的影响。攻击者可利用该漏洞向受害者发送恶意代码。

上周思科已在 Github 项目上发布了安全公告，并讨论了相关细节。

描述

OpenH264编解码器库中的解码函数存在一个漏洞，可能允许远程未经身份验证的攻击者触发堆溢出。

此漏洞是由序列参数集（SPS）内存分配与后续非即时解码刷新（非IDR）网络抽象层（NAL）单元内存使用之间的竞争条件所导致。攻击者可以通过制作恶意比特流并诱使受害用户处理包含恶意比特流的任意视频来利用此漏洞。攻击者可能利用这个漏洞导致受害者的用户解码客户端意外崩溃，并可能通过利用堆溢出在受害者主机上执行任意命令。（CVE-2025-27091，CVSS 8.6，风险 “高”）。

影响的版本

此漏洞影响OpenH264 2.5.0及更早版本。

可伸缩视频编码（SVC）模式和高级视频编码（AVC）模式均受此漏洞影响。

修复软件

OpenH264软件2.6.0及更高版本包含了此漏洞的修复。

Firefox 存在漏洞

自 2014 年发布 Firefox 33 版本以来，Firefox 浏览器已将思科的 OpenH264作为后备解决方案。Mozilla基金会在一篇文章中解释说，即使操作系统中没有可用的 H264 编解码器，浏览器中的编解码器也可用于启用 WebRTC 流（例如视频通话）。作为例子，Mozilla 提到了 Windows N 版本，它们没有这样的编解码器，或者 Linux 发行版（例如 Ubuntu），它们首先必须从特殊存储库（例如“ubuntu-restricted-extras”）安装此类编解码器。

在 “Add-ons and Themes”下的设置菜单中可以找到“Plugins”菜单项。点击 “OpenH264 ”可进行设置并显示当前提供的版本。OpenH264 2.3.2 版目前在 Firefox 135.0.1（从 2023 年 7 月开始）中使用。不过，通过点击 “OpenH264 ”标题右侧的三个点，可以将选项切换为“Never activate”，直到为 Firefox 提供经过错误修复的无漏洞库版本。