Es wurde eine kritische Schwachstelle in Axiomatic Bento4 ausgemacht. Es betrifft die Funktion WriteSample
der Komponente mp42hevc. Durch das Manipulieren mit unbekannten Daten kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-122 vorgenommen. Die Schwachstelle wurde am 22.10.2022 als 776 publik gemacht. Auf github.com kann das Advisory eingesehen werden.
Die Verwundbarkeit wird unter CVE-2022-3670 geführt. Der Angriff kann über das Netzwerk erfolgen. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung.
Er gilt als proof-of-concept. Der Exploit wird unter github.com bereitgestellt. Als 0-Day erzielte der Exploit wohl etwa $0-$5k auf dem Schwarzmarkt.
Das Erscheinen einer Gegenmassnahme geschah vor und nicht erst nach der Veröffentlichung der Schwachstelle.