Odkryto lukę w FFmpeg 2.0. Dotknięta jest funkcja add_yblock
w pliku libavcodec/snow.h. Poprzez manipulację przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności przepełnienie bufora. Raport na temat podatności został udostępniony pod adresem git.videolan.org.
Podatność ta jest zwana CVE-2014-125009. Atak może zostać przeprowadzony zdalnie. Techniczne szczegóły są znane.
Podatność ta była wykorzystywana w exploicie typu 0-day przez co najmniej 220 dni.
Poprawka jet dostępna pod adresem git.videolan.org. Sugeruje się, że najlepszym zabezpieczeniem jest załatanie podatnego komponentu. Potencjalne zabezpieczenie zostało opublikowane jeszcze przed po ujawnieniu podatności.
Błąd jest również udokumentowany w bazie podatności: SecurityFocus (BID 65671), X-Force (91258) i Secunia (SA57066).
Oś czasu
43 więcej wpisów nie jest pokazywanych