Összefoglaló
Az FFmpeg olyan sérülékenységeit jelentették, amelyeket a támadók kihasználva szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő, valamint feltörhetik a könyvtárat használó alkalmazást.
Leírás
- Néhány egész szám túlcsordulási hiba keletkezik a process_frame_obj()” függvényben (libavcodec/sanm.c) bizonyos adatok feldolgozásakor.
- A “old_codec47()” függvény (libavcodec/sanm.c) egy hibáját kihasználva puffer túlcsordulást lehet előidézni.
- A “gif_copy_img_rect()” függvény (libavcodec/gifdec.c) egy hibáját kihasználva összeomlás idézhető elő.
- A “vqa_decode_chunk()” függvény (libavcodec/vqavideo.c) egy határhibája kihasználható puffer túlcsordulás előidézésére.
- Az “aac_decode_init()” függvény (libavcodec/aacdec.c) egy határhibája kihasználható összeomlás előidézésére.
- A “decode_slice_header()” függvény (libavcodec/h264.c) egy határhibája kihasználható összeomlás előidézésére.
- A “generate_joint_tables()” függvény (libavcodec/huffyuvdec.c) egy hibáját kihasználva puffer túlcsordulás idézhető elő.
- A “field_end()” függvény (libavcodec/h264.c) egy hibája kihasználható összeomlás előidézésére.
A sérülékenységeket az 1.1.2 előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: ffmpeg.org
SECUNIA 52093
CVE-2013-0862 - NVD CVE-2013-0862
CVE-2013-0863 - NVD CVE-2013-0863
CVE-2013-0864 - NVD CVE-2013-0864
CVE-2013-0865 - NVD CVE-2013-0865
CVE-2013-0866 - NVD CVE-2013-0866
CVE-2013-0867 - NVD CVE-2013-0867
CVE-2013-0868 - NVD CVE-2013-0868
CVE-2013-0869 - NVD CVE-2013-0869