FFmpeg 2.0 mpeg4videodec.c decode_vol_header Pufferüberlauf

Es wurde eine problematische Schwachstelle in FFmpeg 2.0 gefunden. Es betrifft die Funktion decode_vol_header der Datei libavcodec/mpeg4videodec.c. Dank Manipulation mit unbekannten Daten kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-119 vorgenommen. Am 11.07.2013 wurde der Fehler eingeführt. Das Problem wurde am 20.02.2014 von Mateusz Jurczyk and Gynvael Coldwind durch Google Security Team als avcodec/mpeg4videodec: Check for bitstream overread in decode_vol_header() mittels GIT Commit (GIT Repository) publiziert. Bereitgestellt wird das Advisory unter git.videolan.org. Die Identifikation der Schwachstelle wird mit CVE-2014-125005 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Es sind technische Details verfügbar. Es ist soweit kein Exploit verfügbar. Vor einer Veröffentlichung handelte es sich 224 Tage um eine Zero-Day Schwachstelle. Als 0-Day erzielte der Exploit wohl etwa $0-$5k auf dem Schwarzmarkt. Dieser kann von git.videolan.org heruntergeladen werden. Als bestmögliche Massnahme wird Patching empfohlen. Das Erscheinen einer Gegenmassnahme geschah vor und nicht erst nach der Veröffentlichung der Schwachstelle. Unter anderem wird der Fehler auch in in anderen Verwundbarkeitsdatenbanken dokumentiert: X-Force (91658).

Feld13.03.2014 15:2417.04.2019 08:2717.06.2022 23:20
nameFFmpegFFmpegFFmpeg
version2.02.02.0
filelibavcodec/mpeg4videodec.clibavcodec/mpeg4videodec.clibavcodec/mpeg4videodec.c
functiondecode_vol_headerdecode_vol_headerdecode_vol_header
introductiondate137350080013735008001373500800
risk111
cvss2_vuldb_basescore4.34.34.3
cvss2_vuldb_tempscore3.23.23.2
cvss2_vuldb_avNNN
cvss2_vuldb_acMMM
cvss2_vuldb_auNNN
cvss2_vuldb_ciNNN
cvss2_vuldb_iiNNN
cvss2_vuldb_aiPPP
cvss3_meta_basescore5.35.35.3
cvss3_meta_tempscore4.64.64.6
cvss3_vuldb_basescore5.35.35.3
cvss3_vuldb_tempscore4.64.64.6
date1392854400 (20.02.2014)1392854400 (20.02.2014)1392854400 (20.02.2014)
locationGIT RepositoryGIT RepositoryGIT Repository
typeGIT CommitGIT CommitGIT Commit
urlhttp://git.videolan.org/?p=ffmpeg.git;a=commit;h=3edc3b159503d512c919b3d5902f7026e961823ahttp://git.videolan.org/?p=ffmpeg.git;a=commit;h=3edc3b159503d512c919b3d5902f7026e961823ahttp://git.videolan.org/?p=ffmpeg.git;a=commit;h=3edc3b159503d512c919b3d5902f7026e961823a
identifieravcodec/mpeg4videodec: Check for bitstream overread in decode_vol_header()avcodec/mpeg4videodec: Check for bitstream overread in decode_vol_header()avcodec/mpeg4videodec: Check for bitstream overread in decode_vol_header()
person_nameMateusz Jurczyk/Gynvael ColdwindMateusz Jurczyk/Gynvael ColdwindMateusz Jurczyk/Gynvael Coldwind
person_websitehttp://www.google.comhttp://www.google.comhttp://www.google.com
company_nameGoogle Security TeamGoogle Security TeamGoogle Security Team
price_0day$0-$5k$0-$5k$0-$5k
namePatchPatchPatch
patch_urlhttp://git.videolan.org/?p=ffmpeg.git;a=commit;h=3edc3b159503d512c919b3d5902f7026e961823ahttp://git.videolan.org/?p=ffmpeg.git;a=commit;h=3edc3b159503d512c919b3d5902f7026e961823ahttp://git.videolan.org/?p=ffmpeg.git;a=commit;h=3edc3b159503d512c919b3d5902f7026e961823a
xforce916589165891658
seealso12589 12588 12587 12586 12584 12583 1258212589 12588 12587 12586 12584 12583 1258212589 12588 12587 12586 12584 12583 12582
cvss2_vuldb_eUUU
cvss2_vuldb_rlOFOFOF
cvss2_vuldb_rcCCC
cvss3_vuldb_eUUU
cvss3_vuldb_rlOOO
cvss3_vuldb_rcCCC
0day_days224224224
cvss3_vuldb_avNNN
cvss3_vuldb_acLLL
cvss3_vuldb_prNNN
cvss3_vuldb_uiNNN
cvss3_vuldb_sUUU
cvss3_vuldb_cNNN
cvss3_vuldb_iNNN
cvss3_vuldb_aLLL
typeMultimedia Processing SoftwareMultimedia Processing Software
xforce_titleFFmpeg decode_vol_header() denial of serviceFFmpeg decode_vol_header() denial of service
xforce_identifierffmpeg-decodevolheader-dosffmpeg-decodevolheader-dos
xforce_riskMedium RiskMedium RiskMedium Risk
cwe0119 (Pufferüberlauf)119 (Pufferüberlauf)
cveCVE-2014-125005
responsibleVulDB

ZurückÜbersichtWeiter

Might our Artificial Intelligence support you?

Check our Alexa App!