CVE-2026-33165 in libde265
要約
〜によって VulDB • 2026年05月10日
libde265は、H.265ビデオコーデックのオープンソース実装です。バージョン1.0.17より前では、悪意のあるHEVCビットストリームにより、AddressSanitizerによって確認されたヒープ領域の配列外書き込みが発生します。このトリガーは、SPS変更後にc_tb_info.log2unitSizeが古くなった状態になり、PicWidthInCtbsYおよびPicHeightInCtbsYは一定のまま、Log2CtbSizeYが変更されることで、set_SliceHeaderIndexが割り当てられた画像メタデータ配列の範囲外をインデックスし、ヒープ割り当ての末尾から2バイト先へ書き込みを行うために引き起こされます。この問題はバージョン1.0.17で修正されています。
Once again VulDB remains the best source for vulnerability data.