Linux Systems at Risk: GStreamer Vulnerabilities Threaten Millions
20224/12/29 SecurityOnline — Ubuntu/Fedora/openSUSE などの Linux ディストリビューションで採用される、OSS のマルチメディア・フレームワークである GStreamer に 29 件の脆弱性が発見されたと、GitHub Security Lab の Antonio Morales による最新レポートが伝えている。GStreamer は、Audio/Video のデコード/字幕解析とメディア・ストリーミングなどの、広範なマルチメディア機能をサポートしている。マーケットに提供される数多くのシステムの重要なコンポーネントであり、 Nautilus/GNOME Videos/Rhythmbox といった主要アプリケーションと統合されているため、サイバー攻撃者にとって魅力的なターゲットになっている。
Antonio Morales は、「GStreamer は大規模なライブラリであり、300 を超える各種のサブモジュールを取り込んでいる。今回の調査では、Ubuntu ディストリビューションにデフォルトで取り込んでいる “Base” プラグインと “Good” プラグインだけにフォーカスしている。これらのプラグインは、MP4/MKV/OGG/AVI などの一般的なコーデックをサポートしているため、悪用されやすいものとなる」と述べている。
発見された 29 件の脆弱性のうち、大多数は MP4/MKV フォーマット関連で見つかっている。最も注目すべき脆弱性の、いくつかを以下に示す。
- CVE-2024-47537:”isomp4/qtdemux.c” での Out-of-bounds (OOB) 書き込み。
- CVE-2024-47538:”vorbis_handle_identification_packet” でのスタック・オーバーフロー。
- CVE-2024-47607:”gst_opus_dec_parse_header” でのスタック・オーバーフロー。
- CVE-2024-47615:”gst_parse_vorbis_setup_packet” での OOB 書き込み。
- CVE-2024-47539:”convert_to_s334_1a” での OOB 書き込み。
これらの脆弱性は、OOB 書き込みやスタック・オーバーフローからヌル・ポインタ逆参照にいたるものである。いずれも、任意のコード実行/システム・クラッシュ/機密情報の窃取などを、攻撃者に対して許す可能性がある。
デスクトップ環境やマルチメディア・アプリケーションで、GStreamer が多用されていることから、これらの脆弱性の深刻さは明らかだ。Morales は、「ライブラリに存在する一連の脆弱性は、多様な攻撃ベクターへのドアを開く可能性がある」と述べている。たとえば、悪意を持って作成されたメディア・ファイルにより、これらの脆弱性を誘発させ、ユーザー・システムが侵害される可能性がある。
これらの脆弱性を発見するために、Morales は新たなファジング手法を採用しているま。従来のカバレッジ・ガイド・ファジング・ツールは、大規模なメディア・ファイルのケースにおいて、サイズや複雑さといった問題を発生することが多発していた。そこで Morales は、カスタム・アプローチを選択し。入力コーパス・ジェネレーターをゼロから作成した。MP4/MKV パーサーで稀に発生する実行パスを発見するように調整された、400 万を超えるテスト・ファイルを生成する手法についても、彼は説明している。
開発者とユーザーに対して推奨されるのは、GStreamer の最新のパッチ・バージョンへと、可能な限り早急に更新することだ。
文中でも指摘されているように、大規模な GStreamer ライブラリだけに、影響の広がりが懸念されます。よろしければ、Streaming で検索を、ご参照ください。関連する情報が得られるかもしれません。
IoT OT Security News 
You must be logged in to post a comment.