关键漏洞信息 漏洞描述 类型: 出界写入 (out-of-bounds write) 函数: 文件: 触发条件: 导入包含非UTF-8字符的SRT文件时触发 环境 操作系统 (OS): Ubuntu 22.04.5 LTS (x86_64) 编译器/工具链: GCC 构建时启用了 GPAC 版本: 53a3f77fd450d879b5f677021de6cf271b8e26q MP4Box 版本: 2.5-DEV-rev2118-g53a3f777f-master 测试环境和重现步骤 命令: MP4Box 场景编码 ( ) 构建过程: 生成测试用例: 1. 创建 和 文件, 包含大量 字节触发漏洞 2. 运行构建的 MP4Box 进行测试 实际结果与期望结果 实际结果: UBSan 报告 函数中出现了越界写入 期望结果: - 不越界写入 。可以选择安全截断输出或动态分配输出并验证编码 根因分析 在 函数中,转换循环会将字节追加到 但没有验证是否在边界范围内 ( ),导致非UTF-8字节情况下出现潜在的额外字节写入,引发越界写入 状态 Issue 状态: Closed 修复提交: 已在 提交中修复