[TLP:CLEAR] FFmpeg opravuje 3 zraniteľnosti

FFmpeg (multimedia framework používaný populárnymi aplikáciami, ako VLC Media Player a OBS Studio) verziami 7.0.2, 6.1.2, 6.0.1, 4.4.5, 4.3.8 a 4.2.10 opravuje 3 zraniteľnosti [6]. Podrobný zápis postihnutých verzií pre danú zraniteľnosť je možné nájsť vo webovej verzii reportu (odkaz nižšie). Zraniteľnosti CVE-2024-7055 a CVE-2024-7272 opravuje Debian vo vydaní bookworm (security) verziou 7:5.1.6-0+deb12u1 [2][3]. Slackware opravuje zraniteľnosti CVE-2023-47342 a CVE-2024-7055 [4].

FFmpeg - Heap buffer overflow (CVE-2024-7055) CVSS 6.3 (Medium)

Neautentizovanému vzdialenému útočníkovi je umožnené vykonať pretečenie hromady, čo môže spôsobiť odopretie prístupu od služby alebo neoprávnené vykonávanie kódu [1]. K zraniteľnosti bolo zverejnené PoC [2].

Zraniteľnosť sa nachádza v produkte FFmpeg vo verziách (>=7 AND <7.0.2) OR (>=6.1 AND <6.1.2) OR (>=5.1 AND <5.1.6) OR (>=4.4 AND <4.4.5) OR (>=4.3 AND <4.3.8).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

Viac informácií:

Zraniteľnosť bola verejne oznámená 6. 8. 2024.

FFmpeg - Heap buffer overflow (CVE-2024-7272) CVSS 6.3 (Medium)

Neautentizovanému vzdialenému útočníkovi je umožnené vykonať pretečenie hromady, čo môže spôsobiť odopretie prístupu od služby alebo neoprávnené vykonávanie kódu [3]. K zraniteľnosti bolo zverejnené PoC [4].

Zraniteľnosť sa nachádza v produkte FFmpeg vo verziách >=5.1 AND <5.1.6.

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

Viac informácií:

Zraniteľnosť bola verejne oznámená 8. 8. 2024.

FFmpeg - Out of array access (CVE-2023-47342)

Útočníkovi je umožnené pristupovať v pamäti za hranicu poľa, čo môže spôsobiť neoprávnený prístup k informáciám, vykonávanie kódu ale DoS útok [5].

Zraniteľnosť sa nachádza v produkte FFmpeg vo verziách (==6.1) OR (==6) OR (>=5.1 AND <5.1.4) OR (>=4.4 AND <4.4.5) OR (>=4.3 AND <4.3.7) OR (>=4.2 AND <4.2.10).

Viac informácií:

Zraniteľnosť bola verejne oznámená 22. 3. 2024.


Publikoval Martin Krajči dňa 29. 8. 2024.

CESNET CERTS Logo