libaom Video Codec Library Exposed: Critical CVE-2024-5171 Vulnerability with CVSS 10
2024/06/05 SecurityOnline — OSS ビデオコーデック・ライブラリ libaom に、脆弱性 CVE-2024-5171 (CVSS :10)が発見された。このヒープバッファ・オーバーフローの悪用に成功した攻撃者は、影響を受けるシステムへの不正アクセスを引き起こし、リモート・コード実行へといたる可能性を手にする。
この脆弱性の根本的な原因は、libaom の内部関数 “img_alloc_helper” 内の、整数オーバーフローにある。この関数は、画像バッファの割り当てに使用され、3種類の呼び出し元である “aom_img_alloc()”/”aom_img_wrap()”/”aom_img_alloc_with_border()” を通じて到達できる。画像の寸法や配置に関するパラメータを操作する攻撃者は、意図的に整数オーバーフローを引き起こし、割り当てられたバッファを予定よりも小さくできる。この不一致により、攻撃者は隣接するメモリ領域を上書きし、任意のコード実行を可能にする。
この脆弱性は libaom に限定されるものではない。libaom と密接に関連するライブラリ libvpx でも、同様の脆弱性 CVE-2024-5197 (CVSS 5.9) が発見されている。どちらの脆弱性も、根本的な原因と悪用メカニズムは同じである。
脆弱性 CVE-2024-5171 の、技術的な詳細と PoC エクスプロイトが公表され、これらの脆弱性の深刻さが浮き彫りになっている。この情報が公開されたことで、悪用のために必要な情報を、攻撃者は容易に入手できるようになった。したがって、ユーザーにとっては、パッチを適用する緊急性が高まっている。
Web ブラウザ/ビデオ会議ツール/メディア・プレーヤーなどの各種アプリケーションで、libaom/libvpx は広く使用されているため、CVE-2024-5171/CVE-2024-5197 の影響は深刻である。これらの脆弱性が悪用されると、リモート・コード実行、データ漏洩、システム侵害につながる可能性がある。
良いニュースは、すでにパッチが提供されていることだ。これらの脆弱性を修正した 、libaom v3.9.0 と libvpx v1.14.1 へのアップデートが強く推奨される。潜在的な攻撃からシステムを守るためには、これらのアップデートを速やかに適用することが極めて重要である。
libaom についてググってみましたが、この OSS プロダクトを解説する、適切な記事は見つかりませんでした。話が横道に逸れてしまいますが、Google Git というところの、Alliance for Open Media (aom) – AV1 Codec Library もヒットしました。また、文中の PoC へのリンクは、Chromium のサイトへと誘導するものです。さらに、2022/05/18 には、「Google Cloud の Assured OSS サービス:審査済みの Open Source コンポーネントを提供」という記事があり、この領域における Google のスタンスが示されています。そんなことから、libaom の重要性が感じられます。
IoT OT Security News 
You must be logged in to post a comment.