VDB-11655 · OSVDB 101474 · GCVE-100-11655

FFmpeg 2.1 libavcodec/vc1dec.c ff_vc1_decode_init_alloc_tables リモートコード実行

CVSS 一時的なメタスコア	現在のエクスプロイト価格 (≈)	CTI注目指数
5.4	$0-$5k	0.00

要約情報

FFmpeg 2.1内に問題があるとして分類された脆弱性が発見されました。該当するのは関数ff_vc1_decode_init_alloc_tables ファイルlibavcodec/vc1dec.cのです。未知の値で改ざんすることが、未知の弱点を突く攻撃に繋がります}。この問題を修正するためにパッチを適用することを推奨します。

FFmpeg 2.1内に問題があるとして分類された脆弱性が発見されました。該当するのは関数ff_vc1_decode_init_alloc_tables ファイルlibavcodec/vc1dec.cのです。未知の値で改ざんすることが、未知の弱点を突く攻撃に繋がります}。このバグは 2013年10月29日で紹介されました。この弱点は発表されました 2013年12月17日 Mateusz Jurczyk and Gynvael Coldwindによって（Google Security Teamとともに） avcodec/vc1dec: use av_mallocz for luma_mvとして GIT Commitとして（GIT Repository）。アドバイザリーは git.videolan.org で共有されています。一般公開はベンダーと調整されました。

技術的な詳細が利用可能です。この脆弱性の人気度は平均より低いです。現時点では、エクスプロイトの価格は約USD $0-$5kと考えられます。

未定義として宣言されています。脆弱性は、少なくとも 49 日の間、非公開の0day攻撃ツールとして扱われました。 0dayにはおよそ $0-$5k の価値があったと予想しています。】のプラグインを提供しています。

バグフィックスはgit.videolan.orgから入手できます。この問題を修正するためにパッチを適用することを推奨します。脆弱性が公開されてからすぐに後に、対策が発表されました。