VDB-10413 · OSVDB 97460 · GCVE-100-10413

FFmpeg 2.0 Index ibavcodec/proresdec.c unpack_alpha リモートコード実行

CVSS 一時的なメタスコア	現在のエクスプロイト価格 (≈)	CTI注目指数
5.4	$0-$5k	0.00

要約情報

現在、FFmpeg 2.0にて、問題があると分類される脆弱性が確認されています。該当するのは関数unpack_alpha ファイルibavcodec/proresdec.cのコンポーネントIndex Handlerのです。この操作は、未知の弱点を引き起こします。この問題の修正にはパッチの適用が推奨されます。

現在、FFmpeg 2.0にて、問題があると分類される脆弱性が確認されています。該当するのは関数unpack_alpha ファイルibavcodec/proresdec.cのコンポーネントIndex Handlerのです。この操作は、未知の弱点を引き起こします。この問題は 2013年07月11日に発生しました。この脆弱性は 2013年09月16日に Google Security Teamの Mateusz Jurczyk and Gynvael Coldwindより「GIT Repository」の GIT Commitにて「proresdec: Properly make sure an index doesn't run past the limit」として紹介されました。アドバイザリはgit.libav.orgから入手可能です。ベンダーとの調整の上で公開リリースが行われました。

技術的な情報が提供されています。この脆弱性の人気度は平均より低いです。現時点では、エクスプロイトの価格は約USD $0-$5kと考えられます。

このエクスプロイトツールは未定義として宣言されています。この脆弱性は少なくとも67日間、非公開のゼロデイ脆弱性として扱われていました。 0-dayの際、アンダーグラウンド市場での想定価格は$0-$5k前後でした。

修正プログラムはgit.libav.orgでダウンロードできます。この問題の修正にはパッチの適用が推奨されます。脆弱性の開示からすぐに後に、可能な緩和策が公表されました。