ffmpeg QuickTime Graphics Video Encoder libavcodec/smcenc.c smc_encode_stream y_size 情報の漏洩

脆弱性が ffmpeg 内に見つかりました。この脆弱性は 問題がある として分類されました。 この脆弱性により影響を受けるのは、コンポーネント【QuickTime Graphics Video Encoder】のファイル【libavcodec/smcenc.c】に含まれる関数【smc_encode_stream】です。 【y_size】引数を未知の値で改ざんすることが、 情報の漏洩を突く攻撃に繋がります。 この問題をCWEでは、CWE-125 と定義しました。 この脆弱性は 2022年11月13日ににて 「13c13109759090b7f7182480d075e13b36ed8edd」として 紹介されました。 アドバイザリーは git.ffmpeg.org で共有されています。 この脆弱性は CVE-2022-3965 として知られています。 攻撃はリモートで開始される可能性が高いです。 技術的詳細情報が入手可能です。 入手できるエクスプロイトツールはありません。 現時点で、エクスプロイトツールの価格はおそらく米ドルで約$0-$5kです。 このエクスプロイトツールは 未定義 として宣言されています。 0dayとして、推定される闇市場取引価格はおよそ $0-$5k でした。 】のプラグインを提供しています。 パッチ名は 13c13109759090b7f7182480d075e13b36ed8edd です。 バグフィックスは、git.ffmpeg.org からダウンロードすることが可能です。 この問題を修正するために、パッチの適用を推奨します。

フィールド2022年11月13日 08:412022年12月17日 14:142022年12月17日 14:18
nameffmpegffmpegffmpeg
componentQuickTime Graphics Video EncoderQuickTime Graphics Video EncoderQuickTime Graphics Video Encoder
filelibavcodec/smcenc.clibavcodec/smcenc.clibavcodec/smcenc.c
functionsmc_encode_streamsmc_encode_streamsmc_encode_stream
argumenty_sizey_sizey_size
cwe125 (情報の漏洩)125 (情報の漏洩)125 (情報の漏洩)
risk111
cvss3_vuldb_avNNN
cvss3_vuldb_acLLL
cvss3_vuldb_prNNN
cvss3_vuldb_uiRRR
cvss3_vuldb_sUUU
cvss3_vuldb_cNNN
cvss3_vuldb_iNNN
cvss3_vuldb_aLLL
cvss3_vuldb_rlOOO
cvss3_vuldb_rcCCC
identifier13c13109759090b7f7182480d075e13b36ed8edd13c13109759090b7f7182480d075e13b36ed8edd13c13109759090b7f7182480d075e13b36ed8edd
urlhttps://git.ffmpeg.org/gitweb/ffmpeg.git/commit/13c13109759090b7f7182480d075e13b36ed8eddhttps://git.ffmpeg.org/gitweb/ffmpeg.git/commit/13c13109759090b7f7182480d075e13b36ed8eddhttps://git.ffmpeg.org/gitweb/ffmpeg.git/commit/13c13109759090b7f7182480d075e13b36ed8edd
nameパッチパッチパッチ
patch_name13c13109759090b7f7182480d075e13b36ed8edd13c13109759090b7f7182480d075e13b36ed8edd13c13109759090b7f7182480d075e13b36ed8edd
patch_urlhttps://git.ffmpeg.org/gitweb/ffmpeg.git/commit/13c13109759090b7f7182480d075e13b36ed8eddhttps://git.ffmpeg.org/gitweb/ffmpeg.git/commit/13c13109759090b7f7182480d075e13b36ed8eddhttps://git.ffmpeg.org/gitweb/ffmpeg.git/commit/13c13109759090b7f7182480d075e13b36ed8edd
cveCVE-2022-3965CVE-2022-3965CVE-2022-3965
responsibleVulDBVulDBVulDB
date1668294000 (2022年11月13日)1668294000 (2022年11月13日)1668294000 (2022年11月13日)
typeMultimedia Processing SoftwareMultimedia Processing SoftwareMultimedia Processing Software
cvss2_vuldb_avNNN
cvss2_vuldb_acLLL
cvss2_vuldb_auNNN
cvss2_vuldb_ciNNN
cvss2_vuldb_iiNNN
cvss2_vuldb_aiPPP
cvss2_vuldb_rcCCC
cvss2_vuldb_rlOFOFOF
cvss2_vuldb_eNDNDND
cvss3_vuldb_eXXX
cvss2_vuldb_basescore5.05.05.0
cvss2_vuldb_tempscore4.44.44.4
cvss3_vuldb_basescore4.34.34.3
cvss3_vuldb_tempscore4.14.14.1
cvss3_meta_basescore4.34.35.6
cvss3_meta_tempscore4.14.15.5
price_0day$0-$5k$0-$5k$0-$5k
cve_assigned1668294000 (2022年11月13日)1668294000 (2022年11月13日)
cve_nvd_summaryA vulnerability classified as problematic was found in ffmpeg. This vulnerability affects the function smc_encode_stream of the file libavcodec/smcenc.c of the component QuickTime Graphics Video Encoder. The manipulation of the argument y_size leads to out-of-bounds read. The attack can be initiated remotely. The name of the patch is 13c13109759090b7f7182480d075e13b36ed8edd. It is recommended to apply a patch to fix this issue. The identifier of this vulnerability is VDB-213544.A vulnerability classified as problematic was found in ffmpeg. This vulnerability affects the function smc_encode_stream of the file libavcodec/smcenc.c of the component QuickTime Graphics Video Encoder. The manipulation of the argument y_size leads to out-of-bounds read. The attack can be initiated remotely. The name of the patch is 13c13109759090b7f7182480d075e13b36ed8edd. It is recommended to apply a patch to fix this issue. The identifier of this vulnerability is VDB-213544.
cvss3_nvd_avN
cvss3_nvd_acL
cvss3_nvd_prN
cvss3_nvd_uiR
cvss3_nvd_sU
cvss3_nvd_cH
cvss3_nvd_iN
cvss3_nvd_aH
cvss3_cna_avN
cvss3_cna_acL
cvss3_cna_prN
cvss3_cna_uiR
cvss3_cna_sU
cvss3_cna_cN
cvss3_cna_iN
cvss3_cna_aL
cve_cnaVulDB
cvss3_nvd_basescore8.1
cvss3_cna_basescore4.3

概要

Do you need the next level of professionalism?

Upgrade your account now!