VDB-11772 · OSVDB 101813 · GCVE-100-11772

FFmpeg 2.1 libavcodec/flacdec.c decode_residuals リモートコード実行

CVSS 一時的なメタスコア	現在のエクスプロイト価格 (≈)	CTI注目指数
5.4	$0-$5k	0.00

要約情報

このたび、FFmpeg 2.1において、問題があるに分類される脆弱性が見つかりました。この脆弱性により影響を受けるのは、ファイル【libavcodec/flacdec.c】に含まれる関数【decode_residuals】です。操作結果として不明な脆弱性につながります。この脆弱性を修正するためにパッチを適用してください。

このたび、FFmpeg 2.1において、問題があるに分類される脆弱性が見つかりました。この脆弱性により影響を受けるのは、ファイル【libavcodec/flacdec.c】に含まれる関数【decode_residuals】です。操作結果として不明な脆弱性につながります。 2013年10月29日にこの問題が導入されました。この弱点は 2014年01月07日に発表されました、Mateusz Jurczyk and Gynvael Coldwindによって、Google Security Teamと共に、avcodec/flacdec: check rice_order against blocksizeとして、GIT Commitとして（GIT Repository）。アドバイザリはgit.videolan.orgで提供されています。ベンダーと連携して公開リリースが実施されました。

テクニカルな情報があります。この脆弱性の人気度は平均より低いです。現時点で、エクスプロイトツールの価格はおそらく米ドルで約$0-$5kです。

未定義に指定されています。この脆弱性は少なくとも70日間、非公開のゼロデイ攻撃として扱われていました。 0-dayの場合、推定されるアンダーグラウンドでの価格は約$0-$5kでした。

修正パッチはgit.videolan.orgからダウンロード可能です。この脆弱性を修正するためにパッチを適用してください。脆弱性の公開後、すぐに経過してから対策が公開されました。