VDB-10426 · OSVDB 97473 · GCVE-100-10426

FFmpeg 2.0 Color Planes libavcodec/ivi_common.c ff_ivi_decode_frame リモートコード実行

CVSS 一時的なメタスコア	現在のエクスプロイト価格 (≈)	CTI注目指数
5.4	$0-$5k	0.00

要約情報

脆弱性が問題があるとして分類され、FFmpeg 2.0で発見されました。対象となるのは関数ff_ivi_decode_frame ファイルlibavcodec/ivi_common.cのコンポーネントColor Planes Handlerのです。引数の操作が、不明な弱点をもたらします。この問題を解決するにはパッチの適用が推奨されます。

脆弱性が問題があるとして分類され、FFmpeg 2.0で発見されました。対象となるのは関数ff_ivi_decode_frame ファイルlibavcodec/ivi_common.cのコンポーネントColor Planes Handlerのです。引数の操作が、不明な弱点をもたらします。本件は 2013年07月11日に導入されています。この脆弱性は 2013年09月17日に公開されました、Mateusz Jurczyk and Gynvael Coldwindによって、Google Security Teamとともに、ivi_common: Make sure color planes have been initializedとして、GIT Commitとして（GIT Repository）。アドバイザリはgit.libav.orgにて共有されています。公開情報のリリースはベンダーと協議済みです。

技術詳細が存在します。この脆弱性の一般的な利用度は平均を下回っています。今のところ、エクスプロイトの価格はおよそUSD $0-$5kと推定されます。

未定義として設定されています。脆弱性は少なくとも68日間、非公開のゼロデイエクスプロイトとして扱われていました。 0-dayとして、アンダーグラウンドでの推定価格は$0-$5k程度でした。

バグ修正はgit.libav.orgでダウンロード可能です。この問題を解決するにはパッチの適用が推奨されます。脆弱性が開示されてからすぐに経過後に、対策が提供されました。