CVE-2024-7272: Critical Heap Overflow Vulnerability Discovered in FFmpeg, PoC Published
2024/08/20 SecurityOnline — FFmpeg に、深刻な脆弱性 CVE-2024-7272 (CVSS:8.8) が存在することが明らかになった。この、想像し得る限り、すべてのフォーマットを、デコード/エンコード/ストリーミングする能力を有する、世界有数のマルチメディア・フレームワークである FFmpeg の脆弱性は、きわめて懸念されるべきものである。この脆弱性は、FFmpeg のバージョン 5.1.5 以下に影響し、世界中のユーザーとシステムに対して重大な脅威をもたらす。
この脆弱性は、FFmpeg ライブラリの “/libswresample/swresample.c” ファイル内の、fill_audiodata 関数に起因する。この関数は、フレームワークのリサンプリング機能において不可欠なものであり、ヒープバッファ・オーバーフローの影響を受けやすいとされる。このタイプのオーバーフローは、割り当てられたメモリ領域を超えてデータが書き込まれた場合に発生し、任意のコード実行やサービス拒否 (DoS) などの、深刻な結果を引き起こす可能性を持つ。
この脆弱性を、特に憂慮すべきものにしているのは、リモートからの悪用の可能性である。つまり、ヒープバッファ・オーバーフローを引き起こす PoC エクスプロイトを、リモートの攻撃者が悪用できるようになったことで、そのリスクが著しく高まっている。
セキュリティ研究者 CookedMelon が公開された、PoC エクスプロイト・コード [1, 2] は、ローカル攻撃者による脆弱なシステムの制御を可能にする概念実証 (PoC) を示すものであり、GitHub 上で容易にアクセスできるようになっている。さらに言うなら、この PoC エクスプロイトは、任意のコード実行を可能にするだけではなく、サービス拒否のトリガーとして悪用することも可能であり、影響を受けるシステムは動作不能となる。
Linux/macOS/Windows/BSD/Solaris などの様々なプラットフォームで、FFmpeg が広く採用されていることが、CVE-2024-7272 の潜在的な影響は高まると推測される。ストリーミング・サービスからメディア・コンバータにいたるまでのマルチメディア処理で、FFmpeg が幅広く使用されていることを考えると、パッチが未適用のシステムからの影響が、広範囲に及ぶ可能性が生じている。
すでに FFmpeg 開発チームは、すべてのユーザーに対して、ただちにアップグレードするよう呼びかけることで、この深刻な脆弱性に対応している。この脆弱性に関連するリスクを軽減するためには、影響を受けるコンポーネントに対して、パッチを適用することが不可欠である。FFmpeg バージョン 5.1.5 以下を使用しているユーザーは危険に直面している。安全なバージョンへのアップデートを優先し、潜在的な悪用からシステムを保護するべきである。
システムの開発者と管理者に推奨されるのは、セキュリティ・アドバイザリを確認し、必要なパッチを遅滞なく実装することである。さらに、FFmpeg のデプロイメントのセキュリティ体制を検証し、すべてのコンポーネントが最新であることを確認することが、この脆弱性から保護する上で極めて重要である。
FFmpeg が影響を及ぼす範囲は、文中でも指摘されているように広大です。さまざまなアプリやサービスが、このオープンソースを取り込んで、活用しています。したがって、思いもよらぬところで、この脆弱性 CVE-2024-7272 の影響を受けることが想像されます。PoC もリリースされていますので、十分に、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.