パスワードを忘れた? アカウント作成
11163615 story
セキュリティ

FFmpegのLZO実装コードに脆弱性、20年前から存在 20

ストーリー by hylom
20年間熟成された秘伝の脆弱性 部門より

6月29日にリリースされたFFmpeg v2.2.4/2.1.5/2.0.5/1.2.7/1.1.12/0.10.14では、20年前から存在していた脆弱性が修正されているという(窓の杜)。

The Mouse Trapによると、これはLZO圧縮アルゴリズムを実装した部分に存在しており、特定の状況でバッファオーバーフローが引き起こされるという。LZO圧縮アルゴリズムは1994年にMarkus Oberhumer氏によって開発され、オープンソースの実装が存在している。今回発見された脆弱性はこのオープンソース実装に含まれていたとのことで、おなじ実装を使っているほかのソフトウェアでも同様の問題が発生する可能性があるという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by baldmage (45440) on 2014年07月02日 9時28分 (#2631470) 日記

    M$(笑)製品にセキュリティホールが見つかった時は鬼の首でも取ったかのように大騒ぎする癖に

    • by miyuri (33181) on 2014年07月02日 13時13分 (#2631649) 日記

      LZOを使う環境が少ないし、パッと見た感じ、自殺する程度だからとか。

      親コメント
    • by Anonymous Coward

      そりゃMS嫌いだからだろ。それ以外に理由あんの?

    • by Anonymous Coward

      不思議ですよね。
      オプソの時は問題見つかった奴”だけ”に限定して、MSのときは全てに範囲を広げる。

      少なくと今回はLZOつかってる奴すべて疑うなぁ。

  • linuxのカーネルにも同じ問題があって,6月末に CVE-2014-4608 が出ています.
    既に linux-3.15.2 で修正が入っています

    実害としては OpenVPNなどで影響がでるそうです.
    Linuxベースのルータ等,影響範囲は意外と広いかも知れません

  • by lamvision (16580) on 2014年07月02日 6時57分 (#2631381)

    怪しげなフロントエンドを使うなって感じなんですかね

    • by Angelica (23122) on 2014年07月02日 11時43分 (#2631588) 日記

      その怪しげなフロントエンド自身が直接どうこうした方が早い気が…

      オンラインで動画を変換するようなサービスは、悪意のある動画を指定されることで攻撃を受ける(かも)、って感じでしょうか?

      親コメント
  • by Anonymous Coward on 2014年07月02日 7時23分 (#2631394)

    沢山の目玉が云々
    それらの目玉は全て節穴?そもそもそんな目玉なんか無かったよね

    幻想だよ

  • by Anonymous Coward on 2014年07月02日 11時39分 (#2631582)

    lzo本家 [oberhumer.com]

    2.07でCVE-2014-4607の対策が入って、その後2.08で小さな修正が入った…でおk?

typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...