VDB-12162 · OSVDB 102887 · GCVE-100-12162

FFmpeg 2.1 libavcodec/hevc.c hls_slice_header メモリ破損

CVSS 一時的なメタスコア	現在のエクスプロイト価格 (≈)	CTI注目指数
9.5	$0-$5k	0.00

要約情報

このたび、FFmpeg 2.1において、重大に分類される脆弱性が見つかりました。この脆弱性により影響を受けるのは、ファイル【libavcodec/hevc.c】に含まれる関数【hls_slice_header】です。引数の操作が、メモリ破損をもたらします。この脆弱性を修正するためにパッチを適用してください。

このたび、FFmpeg 2.1において、重大に分類される脆弱性が見つかりました。この脆弱性により影響を受けるのは、ファイル【libavcodec/hevc.c】に含まれる関数【hls_slice_header】です。引数の操作が、メモリ破損をもたらします。 CWEを用いて問題を定義すると、CWE-119 となります。本件は 2013年10月29日に導入されています。この弱点は 2014年02月01日に発表されました、Mateusz Jurczyk and Gynvael Coldwindによって、Google Security Teamと共に、hevc: Reject impossible slice segmentとして、GIT Commitとして（GIT Repository）。アドバイザリはgit.videolan.orgにて共有されています。公開情報のリリースはベンダーと協議済みです。

テクニカルな情報があります。この脆弱性の人気度は平均より低いです。現時点で、エクスプロイトツールの価格はおそらく米ドルで約$0-$5kです。

未定義に指定されています。脆弱性は少なくとも95日間、非公開のゼロデイエクスプロイトとして扱われていました。 0-dayの場合、推定されるアンダーグラウンドでの価格は約$0-$5kでした。

修正パッチはgit.videolan.orgからダウンロード可能です。この脆弱性を修正するためにパッチを適用してください。脆弱性の公開後、すぐに経過してから対策が公開されました。