FFmpeg перед 27.0.1453.93 libavcodec/h264.c decode_slice_header отказ в обслуживании

CVSS Meta Temp ScoreТекущая цена эксплойта (≈)Балл интереса CTI
7.2$0-$5k0.00

СводкаИнформация

В FFmpeg была найдена уязвимость, классифицированная как проблематичный. Неизвестная функция файла libavcodec/h264.c затронута. Осуществление манипуляции приводит к отказ в обслуживании. Эта уязвимость обрабатывается как CVE-2013-2836. Эксплойт отсутствует. Рекомендуется установить патч для исправления данной уязвимости.

ПодробностиИнформация

В FFmpeg была найдена уязвимость, классифицированная как проблематичный. Неизвестная функция файла libavcodec/h264.c затронута. Осуществление манипуляции приводит к отказ в обслуживании. Декларирование проблемы с помощью CWE приводит к CWE-404. Информация о слабости была опубликована 15.12.2012 автором Mateusz Jurczyk and Gynvael Coldwind совместно с Google Security Team под номером 241595 как GIT Commit (Веб-сайт). Консультация доступна для скачивания по адресу code.google.com. Публичный релиз был согласован с поставщиком.

Эта уязвимость обрабатывается как CVE-2013-2836. Назначение CVE произошло 11.04.2013. Имеются технические подробности. Уровень популярности этой уязвимости ниже среднего значения. Эксплойт отсутствует. На данный момент актуальная стоимость эксплойта может быть около USD $0-$5k.

Присвоено значение Не определено. В случае 0-day эксплойта, предполагаемая цена на подпольном рынке была около $0-$5k. Сканер Nessus предлагает плагин с идентификатором 66549. Он относится к семейству FreeBSD Local Security Checks. Плагин запущен в контексте типа l. Он полагается на порт 0. Коммерческий сканер уязвимостей Qualys способен проверить эту проблему с помощью плагина 121201 (Google Chrome Prior to 27.0.1453.93 Multiple Vulnerabilities).

Обновление до версии 27.0.1453.93 позволяет устранить данную проблему. Исправление уже готово и доступно для скачивания на git.videolan.org. Рекомендуется установить патч для исправления данной уязвимости.

Данная уязвимость также присутствует в других базах данных уязвимостей: SecurityFocus (BID 60062), Secunia (SA53430) и Tenable (66549).

Затронуто

  • Google Chrome 26.0.1410.63
  • Google Chrome 26.0.1410.64
  • Google Chrome 26.0.1410.65

ПродуктИнформация

Тип

Имя

Версия

Лицензия

Веб-сайт

CPE 2.3Информация

CPE 2.2Информация

CVSSv4Информация

VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv3Информация

VulDB Meta Base Score: 7.5
VulDB Meta Temp Score: 7.2

VulDB Базовый балл: 7.5
VulDB Временная оценка: 7.2
VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv2Информация

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
ВекторСложностьАутентификацияКонфиденциальностьЦелостностьДоступность
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать

VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍

NVD Базовый балл: 🔍

ЭксплуатацияИнформация

Класс: отказ в обслуживании
CWE: CWE-404
CAPEC: 🔍
ATT&CK: 🔍

Физический: Нет
Локальный: Нет
Удалённый: Да

Доступность: 🔍
Статус: Не определено

EPSS Score: 🔍
EPSS Percentile: 🔍

Прогноз цен: 🔍
Оценка текущей цены: 🔍

0-DayРазблокироватьРазблокироватьРазблокироватьРазблокировать
СегодняРазблокироватьРазблокироватьРазблокироватьРазблокировать

Nessus ID: 66549
Nessus Имя: FreeBSD : chromium -- multiple vulnerabilities (358133b5-c2b9-11e2-a738-00262d5ed8ee)
Nessus Файл: 🔍
Nessus Риск: 🔍
Nessus Семейство: 🔍
Nessus Context: 🔍
Nessus Port: 🔍

OpenVAS ID: 803705
OpenVAS Имя: Google Chrome Multiple Vulnerabilities-01 May13 (Linux)
OpenVAS Файл: 🔍
OpenVAS Семейство: 🔍

Qualys ID: 🔍
Qualys Имя: 🔍

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендация: Патч
Статус: 🔍

Время реакции: 🔍
0-дневное время: 🔍
Время экспозиции: 🔍

Обновление: FFmpeg 27.0.1453.93
Патч: git.videolan.org

ХронологияИнформация

15.12.2012 🔍
15.12.2012 +0 дни 🔍
11.04.2013 +117 дни 🔍
21.05.2013 +40 дни 🔍
22.05.2013 +1 дни 🔍
22.05.2013 +0 дни 🔍
23.05.2013 +1 дни 🔍
10.06.2013 +18 дни 🔍
29.04.2019 +2149 дни 🔍

ИсточникиИнформация

Продукт: ffmpeg.org

Консультация: 241595
Исследователь: Mateusz Jurczyk, Gynvael Coldwind
Организация: Google Security Team
Статус: Подтверждённый
Подтверждение: 🔍
Скоординированный: 🔍

CVE: CVE-2013-2836 (🔍)
GCVE (CVE): GCVE-0-2013-2836
GCVE (VulDB): GCVE-100-9031

OVAL: 🔍

SecurityFocus: 60062 - Google Chrome CVE-2013-2836 Multiple Unspecified Security Vulnerabilities
Secunia: 53430 - Google Chrome Multiple Vulnerabilities, Highly Critical
OSVDB: 93990

Смотрите также: 🔍

ВходИнформация

Создано: 10.06.2013 10:43
Обновлено: 29.04.2019 20:46
Изменения: 10.06.2013 10:43 (84), 29.04.2019 20:46 (1)
Завершенный: 🔍
Cache ID: 216:52B:103

Обсуждение

Комментариев пока нет. Языки: ru + be + en.

Пожалуйста, войдите в систему, чтобы прокомментировать.

ПредыдущийОбзорДалее

Want to know what is going to be exploited?

We predict KEV entries!