VDB-10407 · CVE-2013-4358 · OSVDB 97536

FFmpeg 0.11/0.11.1/0.11.2/0.11.3 Alternating Bit Depths libavcodec/h264.c memory corruption

WpisedytowaćHistoryDiffjsonxmlCTI
CVSS Meta Temp ScoreExploit Aktualna Cena (≈)CTI Interest Score
9.5$0-$5k0.00

W FFmpeg 0.11/0.11.1/0.11.2/0.11.3 (Multimedia Processing Software) została odkryta podatność. Dotknięta jest nieznana funkcja w pliku libavcodec/h264.c w komponencie Alternating Bit Depths Handler. Poprzez manipulowanie przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności przepełnienie bufora. Wpływa to na poufność, spójność i dostępność.

Informacja o podatności została opublikowana w dniu upubliczniona 2012-12-13 jako h264: set parameters from SPS whenever it changes w formie potwierdzone mailinglist post (oss-sec). Raport na temat podatności został udostępniony pod adresem seclists.org. Producent nie był zaangażowany w koordynację procesu publikacji. Podatność ta posiada unikalny identyfikator CVE-2013-4358. Luka jest ciężka do wykorzystania. Atak może zostać zainicjowany zdalnie. Eksploitacja nie wymaga żadnej formy uwierzytelnienia. Są znane pewne szczegóły techniczne, ale exploit nie jest dostępny.

Aktualizacja do wersji 0.11.4 eliminuje tę podatność. Aktualizacja jest dostępna pod adresem git.libav.org. Zastosowanie poprawka eliminuje problem. Poprawka jet dostępna pod adresem git.videolan.org. Sugeruje się, że najlepszym zabezpieczeniem jest aktualizacja do najnowszej wersji. Potencjalne zabezpieczenie zostało opublikowane 10 miesięcy po ujawnieniu podatności.

Dotyczyedytować

  • FFmpeg 1.0
  • Libav 0.8.4

Produktinfoedytować

Rodzaj

Name

CPE 2.3infoedytować

CPE 2.2infoedytować

CVSSv3infoedytować

VulDB Meta Base Score: 10.0
VulDB Meta Temp Score: 9.5

VulDB Base Score: 10.0
VulDB Temp Score: 9.5
VulDB Vector: 🔍
VulDB Niezawodność: 🔍

CVSSv2infoedytować

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VectorMożliwość wykorzystaniaUwierzytelnianieConfidentialityIntegrityDostępność
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Niezawodność: 🔍

NVD Base Score: 🔍

Exploitinfoedytować

Klasa: Przepełnienie bufora
CWE: CWE-119
ATT&CK: Nieznany

Lokalny: Nie
Zdalny: Tak

Dostępność: 🔍
Status: Nie określono

Przewidywanie ceny: 🔍
Aktualny szacunek cena: 🔍

0-Dayunlockunlockunlockunlock
Dzisiajunlockunlockunlockunlock

Inteligencja Zagrożeńinfoedytować

Zagrożenie: 🔍
Przeciwnicy: 🔍
Geopolityka: 🔍
Gospodarka: 🔍
Prognozy: 🔍
Przeciwdziałanie: 🔍

Przeciwdziałanieinfoedytować

Zalecane: Upgrade
Status: 🔍

Reaction Time: 🔍
0-Day Time: 🔍
Exposure Time: 🔍

Upgrade: FFmpeg 0.11.4
Poprawka: git.videolan.org

Oś czasuinfoedytować

2012-12-13 🔍
2013-06-12 +181 dni 🔍
2013-08-28 +77 dni 🔍
2013-09-23 +26 dni 🔍
2013-12-24 +92 dni 🔍
2019-04-15 +1938 dni 🔍

Źródłainfoedytować

Produkt: https://ffmpeg.org/

Raport: h264: set parameters from SPS whenever it changes
Status: Potwierdzone
Potwierdzenie: 🔍

CVE: CVE-2013-4358 (🔍)
OSVDB: 97536

Zobacz także: 🔍

Wpisinfoedytować

Stworzono: 2013-09-23 14:44
Aktualizacje: 2019-04-15 09:03
Zmiany: (11) software_type vulnerability_cvss2_nvd_av vulnerability_cvss2_nvd_ac vulnerability_cvss2_nvd_au vulnerability_cvss2_nvd_ci vulnerability_cvss2_nvd_ii vulnerability_cvss2_nvd_ai source_cve_assigned source_cve_nvd_published source_cve_nvd_summary vulnerability_cwe
Kompletny: 🔍

Komentarze

Do you know our Splunk app?

Download it now for free!