CVE-2024-22860 & CVE-2024-22862: Critical FFmpeg Remote Code Execution Flaws
2024/01/29 SecurityOnline — マルチメディア・ファイル処理のための、人気のオープンソース・プロジェクト FFmpeg に、3つの脆弱性が発見された。これらの脆弱性は Google の OSS-Fuzz サービスを通じて発見されたものであり、そのうちの2つ (CVE-2024-22860/CVE-2024-22862) は特に深刻なものである。
CVE-2024-22860/CVE-2024-22862 の CVSS スコアは、いずれも 9.8 とされている。これらの脆弱性は、それぞれ FFmpeg の JPEG XL Animation Decoder と JPEG XL Parser に存在する整数オーバーフローの脆弱性だ。これらの脆弱性の悪用に成功した攻撃者は、影響を受けるシステム上で、リモートで任意のコードを実行する可能性を持つ。
最近発見された3つ目の脆弱性 CVE-2024-22861 (CVSS:7.5) は、avcodec/osq モジュールを介してサービス拒否 (DoS:Denial of Service) を引き起こす可能性があるものだ。
これらの FFmpeg の脆弱性が強く訴えるのは、オープンソース・ソフトウェアにおける、継続的なセキュリティ・テストとアップデートの重要性である。OSS-Fuzz のインフラにより潜在的な脅威の特定/緩和が可能になったことで、OSS コミュニティのニーズであるセキュリティと安定性の強化が進んでいる。このような脆弱性への迅速な対応と解決は、マルチメディアの処理を FFmpeg に依存するユーザーを保護する上で、極めて重要なものとなる。
マルチメディア・ファイルやストリームの処理に広く利用されていることから、FFmpeg の脆弱性については大きな懸念が生じている。これらの脆弱性の潜在的な影響は、システム侵害からサービス拒否にまで及び、ソフトウェアの安全性の維持を困難にするものだ。FFmpeg は、これらの問題に対処するため、一連の脆弱性に対するパッチを含むバージョン n6.1 をリリースした。
これらの脆弱性と詳細について知りたい場合には、FFmpeg の公式セキュリティ・ページや OSS-Fuzz のレポートで確認できる。ただ、詳細を理解するのは技術的に難しい場合があることは、念頭に置いてほしい。
このブログでは初登場の FFmpeg ですが、お隣のキュレーション・チームに聞いてみたところ、2017年から脆弱性情報を拾っている常連さんとのことでした。ただし、セキュリティ面は安定性しているようであり、脆弱性が発生する頻度は低いとのことでした。ご利用のチームは、お気をつけください。
IoT OT Security News 
You must be logged in to post a comment.