VDB-11675 · OSVDB 101528 · GCVE-100-11675

FFmpeg 2.1 libavcodec/wavpack.c wv_unpack_stereo リモートコード実行

CVSS 一時的なメタスコア	現在のエクスプロイト価格 (≈)	CTI注目指数
5.4	$0-$5k	0.00

要約情報

FFmpeg 2.1内に問題があるとして分類された脆弱性が発見されました。影響を受けるのは、ファイル【libavcodec/wavpack.c】に含まれる関数【wv_unpack_stereo】です。未知の値で改ざんすることが、未知の弱点を突く攻撃に繋がります}。この問題を修正するためにパッチを適用することを推奨します。

FFmpeg 2.1内に問題があるとして分類された脆弱性が発見されました。影響を受けるのは、ファイル【libavcodec/wavpack.c】に含まれる関数【wv_unpack_stereo】です。未知の値で改ざんすることが、未知の弱点を突く攻撃に繋がります}。このバグは 2013年10月29日で紹介されました。この弱点は発表されました 2013年12月23日 Mateusz Jurczyk and Gynvael Coldwindによって（Google Security Teamとともに） avcodec/wavpack: clear remainder of data in case of error in wv_unpack_mono/stereo()として GIT Commitとして（GIT Repository）。アドバイザリーは git.videolan.org にてダウンロード用に公開されています。一般向けリリースはベンダーと調整済みです。

技術的な詳細が利用可能です。この脆弱性の普及度は平均未満です。エクスプロイトツールの現在の価格はおそらく米ドルで約$0-$5kです。

未定義として宣言されています。脆弱性は、少なくとも 55 日の間、非公開の0day攻撃ツールとして扱われました。 0dayにはおよそ $0-$5k の価値があったと予想しています。】のプラグインを提供しています。

バグフィックスはgit.videolan.orgから入手できます。この問題を修正するためにパッチを適用することを推奨します。脆弱性が公開されてからすぐに後に、対策が発表されました。