| CVSS Wynik metatemperatury | Exploit Aktualna Cena (≈) | Wynik odsetkowy CTI |
|---|---|---|
| 9.0 | $0-$5k | 0.00 |
Odkryto lukę w FFmpeg 2.0.1 (Multimedia Processing Software). Problemem dotknięta jest funkcja get_siz w pliku ibavcodec/jpeg2000dec.c. Dzięki manipulacji przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności przepełnienie bufora. Ma to wpływ na poufność, spójność i dostępność.
Informacja o podatności została opublikowana w dniu 2013-08-23 przez osobę/y Piotr Bandurski (ami_stuff) jako avcodec/jpeg2000dec: Check cdx/y values more carefully w formie potwierdzone git commit (GIT Repository). Raport na temat podatności został udostępniony pod adresem git.videolan.org. Producent współpracował przy koordynacji publikacji. Luka jest ciężka w wykorzystaniu. Możliwe jest zdalne przeprowadzenie ataku. Nie potrzeba żadnej formy uwierzytelnienia w celu eksploitacji. Techniczne szczegóły i publiczny exploit są znane.
Uważa się go za proof-of-concept.
Aktualizacja do wersji 2.1 eliminuje tę podatność. Aktualizacja jest dostępna pod adresem git.videolan.org. Zastosowanie poprawka eliminuje problem. Poprawka jet dostępna pod adresem git.videolan.org. Sugeruje się, że najlepszym zabezpieczeniem jest aktualizacja do najnowszej wersji. Potencjalne zabezpieczenie zostało opublikowane po ujawnieniu podatności.
Dotyczy
- FFmpeg 2.0.1
- Libav 0.8.8/9.8
Produkt
Rodzaj
Imię
Wersja
Licencja
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍
CVSSv3
VulDB Wynik metabazy: 10.0VulDB Wynik metatemperatury: 9.0
VulDB Wynik podstawowy: 10.0
VulDB Wynik tymczasowy: 9.0
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Wektor | Możliwość wykorzystania | Uwierzytelnianie | Poufność | Integralność | Dostępność |
|---|---|---|---|---|---|
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
VulDB Wynik podstawowy: 🔍
VulDB Wynik tymczasowy: 🔍
VulDB Niezawodność: 🔍
Exploit
Klasa: Przepełnienie buforaCWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Lokalny: Nie
Zdalny: Tak
Dostępność: 🔍
Dostęp: Publiczny
Status: Proof-of-Concept
Przewidywanie ceny: 🔍
Aktualny szacunek cena: 🔍
| 0-Day | odblokować | odblokować | odblokować | odblokować |
|---|---|---|---|---|
| Dzisiaj | odblokować | odblokować | odblokować | odblokować |
Inteligencja Zagrożeń
Wysiłek: 🔍Aktywni aktorzy: 🔍
Aktywne grupy APT: 🔍
Przeciwdziałanie
Zalecane: UpgradeStatus: 🔍
Czas reakcji: 🔍
0-dniowy czas: 🔍
Czas ekspozycji: 🔍
Upgrade: FFmpeg 2.1
Poprawka: git.videolan.org
Oś czasu
2013-08-23 🔍2013-08-23 🔍
2013-11-29 🔍
2013-12-04 🔍
2019-04-17 🔍
Źródła
Produkt: ffmpeg.orgRaport: avcodec/jpeg2000dec: Check cdx/y values more carefully
Badacz: Piotr Bandurski (ami_stuff)
Status: Potwierdzone
Koordynowane: 🔍
Secunia: 55802 - FFmpeg Multiple Vulnerabilities, Moderately Critical
OSVDB: 100491
scip Labs: https://www.scip.ch/en/?labs.20161013
Zobacz także: 🔍
Wpis
Stworzono: 2013-12-04 11:37Aktualizacje: 2019-04-17 09:08
Zmiany: 2013-12-04 11:37 (56), 2019-04-17 09:08 (1)
Kompletny: 🔍
Brak komentarzy. Języki: pl + en.
Zaloguj się, aby skomentować.