FFmpeg 1.0 libavcodec/tiff.c add_doubles_metadata/add_shorts_metadata Удалённое выполнение кода
| CVSS Meta Temp Score | Текущая цена эксплойта (≈) | Балл интереса CTI |
|---|---|---|
| 7.7 | $0-$5k | 0.00 |
Сводка
Уязвимость была найдена в FFmpeg 1.0. Она была классифицирована как проблематичный. Затронута неизвестная функция файла libavcodec/tiff.c. Выполнение манипуляции приводит к Удалённое выполнение кода. Эта уязвимость была названа CVE-2013-0859. Эксплойт отсутствует. Рекомендуется произвести апгрейд соответствующего компонента.
Подробности
Уязвимость была найдена в FFmpeg 1.0. Она была классифицирована как проблематичный. Затронута неизвестная функция файла libavcodec/tiff.c. Выполнение манипуляции приводит к Удалённое выполнение кода. Использование CWE для объявления проблемы приводит к тому, что CWE-189. Уязвимость появилась в 30.09.2012. Данная уязвимость была опубликована 09.11.2012 исследователем Mateusz Jurczyk and Gynvael Coldwind при поддержке Google Security Team с идентификатором tiffdec: check count in metadata reading. в виде GIT Commit (GIT Repository). Консультация доступна по адресу git.videolan.org. Публичная доступность была скоординирована в сотрудничестве с поставщиком.
Эта уязвимость была названа CVE-2013-0859. CVE был назначен 07.01.2013. Доступна техническая информация. Данная уязвимость менее популярна, чем в среднем. Эксплойт отсутствует. На текущий момент стоимость эксплойта может быть примерно USD $0-$5k.
Это объявлено как Не определено. Уязвимость оставалась в статусе непубличного эксплойта нулевого дня не менее 40 дней. Как 0-day, оценочная цена на теневом рынке составляла примерно $0-$5k.
Установка версии 1.1 позволяет решить данный вопрос. Последняя версия доступна для скачивания по ссылке git.videolan.org. Патч можно скачать на git.videolan.org. Рекомендуется произвести апгрейд соответствующего компонента.
Продукт
Тип
Имя
Версия
Лицензия
Веб-сайт
- Продукт: https://ffmpeg.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Вектор: 🔍VulDB Надёжность: 🔍
CVSSv3
VulDB Meta Base Score: 8.1VulDB Meta Temp Score: 7.7
VulDB Базовый балл: 8.1
VulDB Временная оценка: 7.7
VulDB Вектор: 🔍
VulDB Надёжность: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Вектор | Сложность | Аутентификация | Конфиденциальность | Целостность | Доступность |
|---|---|---|---|---|---|
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍
NVD Базовый балл: 🔍
Эксплуатация
Класс: Удалённое выполнение кодаCWE: CWE-189
CAPEC: 🔍
ATT&CK: 🔍
Физический: Нет
Локальный: Нет
Удалённый: Да
Доступность: 🔍
Статус: Не определено
EPSS Score: 🔍
EPSS Percentile: 🔍
Прогноз цен: 🔍
Оценка текущей цены: 🔍
| 0-Day | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
|---|---|---|---|---|
| Сегодня | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
Разведка угроз
Интерес: 🔍Активные акторы: 🔍
Активные группы APT: 🔍
Контрмеры
Рекомендация: ОбновлениеСтатус: 🔍
Время реакции: 🔍
0-дневное время: 🔍
Время экспозиции: 🔍
Обновление: FFmpeg 1.1
Патч: git.videolan.org
Хронология
30.09.2012 🔍09.11.2012 🔍
09.11.2012 🔍
07.01.2013 🔍
17.06.2013 🔍
07.12.2013 🔍
15.04.2019 🔍
Источники
Продукт: ffmpeg.orgКонсультация: tiffdec: check count in metadata reading.
Исследователь: Mateusz Jurczyk, Gynvael Coldwind
Организация: Google Security Team
Статус: Подтверждённый
Подтверждение: 🔍
Скоординированный: 🔍
CVE: CVE-2013-0859 (🔍)
GCVE (CVE): GCVE-0-2013-0859
GCVE (VulDB): GCVE-100-9153
OSVDB: 94247
Смотрите также: 🔍
Вход
Создано: 17.06.2013 10:18Обновлено: 15.04.2019 09:37
Изменения: 17.06.2013 10:18 (64), 15.04.2019 09:37 (1)
Завершенный: 🔍
Cache ID: 216::103
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Комментариев пока нет. Языки: ru + be + en.
Пожалуйста, войдите в систему, чтобы прокомментировать.