Microsoft 脆弱性調査アドバイザリ MSVR12-017
FFmpeg Libavcodec の脆弱性により、任意のコードが実行される
公開日: 2012 年 10 月 16 日
バージョン: 1.0
概要
概要
Microsoft は、FFmpeg コーデック ライブラリ ソフトウェア バージョン 0.10 以前のバージョンの 3 つの脆弱性の検出と修復に関する通知を提供しています。 Microsoft は、影響を受けるベンダー FFmpeg に対する調整された脆弱性の開示の下で、この脆弱性を検出し、開示しました。 FFmpeg は、ソフトウェアの脆弱性を修復しました。
FFmpeg libavcodec が ASF、QT、WMV ファイルを解析する方法に脆弱性が存在します。 これらの脆弱性により、libavcodec 内のメモリ破損の問題が発生し、任意のコードが実行されます。 攻撃者がこの脆弱性を悪用した場合、現在のユーザーと同じユーザー権限を取得する可能性があります。 現在のユーザーが管理者権限でログオンしている場合、攻撃者がこの脆弱性を悪用した場合、影響を受けるシステムが完全に制御される可能性があります。 このような攻撃者はプログラムをインストールしたり、データの閲覧、変更、削除を行ったり、完全なユーザー権限を持つ新しいアカウントを作成したりできるようになります。
Microsoft 脆弱性調査は、これらの脆弱性を FFmpeg に報告し、FFmpeg と連携して、これらの脆弱性の修復を確実に行いました。 脆弱性の一覧には、CVE-2012-5359、CVE-2012-5360、CVE-2012-5361 の各 CVE エントリが割り当てられます。 FFmpeg からの更新に関する情報など、詳細については、FFmpeg のダウンロード ページを参照してください。
軽減要因
- この脆弱性は、電子メールを介して自動的に悪用されることはできません。 攻撃を成功させるには、ユーザーが電子メール メッセージで送信される添付ファイルを開く必要があります。
- Web ベースの攻撃シナリオでは、攻撃者は、これらの脆弱性の悪用に使用される特別に細工されたファイルを含む Web サイトをホストする可能性があります。 さらに、侵害された Web サイトや、ユーザーが提供するコンテンツまたは広告を受け入れる、またはホストする Web サイトには、これらの脆弱性を悪用する可能性のある特別に細工されたコンテンツが含まれる可能性があります。 ただし、いずれの場合も、攻撃者はユーザーにそのような Web サイトへのアクセスを強制する方法はありません。 代わりに、攻撃者は、通常、ユーザーに電子メール メッセージまたはインスタント メッセンジャー メッセージ内のリンクをクリックさせ、ユーザーを攻撃者の Web サイトに誘導して、特別に細工されたファイルを開くよう誘導することで、Web サイトにアクセスするようにユーザーを誘導する必要があります。
- 攻撃者がこれらの脆弱性を悪用した場合、現在のユーザーと同じユーザー権限を取得する可能性があります。 システム上でアカウントのユーザー権限が少なく構成されているユーザーは、管理ユーザー権限で作業するユーザーに比べて、受ける影響は少ない可能性があります。
アドバイザリの詳細
目的と推奨事項
アドバイザリの目的: 脆弱性とその修復についてユーザーに通知します。
アドバイザリの状態: アドバイザリが公開されました。
推奨事項: [推奨されるアクション] セクションを確認し、必要に応じて構成します。
問題のリファレンス
この問題の詳細については、次のリファレンスを参照してください。
| リファレンス | [識別] |
|---|---|
| 一般的な脆弱性と露出 | CVE-2012-5359 CVE-2012-5360 \ CVE-2012-5361 \ |
影響を受けるソフトウェアと影響を受けないもの
このアドバイザリでは、次のソフトウェアについて説明します。
| 影響を受けるソフトウェア |
|---|
| FFmpeg 0.10 以前のバージョン |
| 影響を受けるソフトウェア以外のソフトウェア |
| FFmpeg 0.11 |
| FFmpeg 1.0 |
よく寄せられる質問
このアドバイザリの範囲は何ですか?
このアドバイザリは、影響を受けるベンダーとの調整されたリリースの一部であり、システムに影響を与える可能性のあるセキュリティの問題をお客様に通知します。
Microsoft がセキュリティ更新プログラムを発行する必要があるこれらのセキュリティの脆弱性はありますか?
いいえ。 これらの脆弱性は、影響を受けるサード パーティ ベンダーからの更新によって修正されています。 この更新プログラムは、 影響を受けるソフトウェアの表に記載されているソフトウェアを修復します。
この脆弱性の範囲は何ですか?
これらは、リモートでコードが実行される脆弱性です。 これらの脆弱性のいずれかを悪用した攻撃者は、現在のユーザーと同じユーザー権限を取得する可能性があります。 システム上でアカウントのユーザー権限が少なく構成されているユーザーは、管理ユーザー権限で作業するユーザーに比べて、受ける影響は少ない可能性があります。
この脆弱性の原因は何ですか?
これらの脆弱性は、FFmpegが特別に細工されたASF、QT、WMVファイルを解析する方法によって引き起こされ、メモリが破損します。
攻撃者はこれらの脆弱性を使用して何を行う可能性がありますか?
攻撃者がこれらの脆弱性のいずれかを悪用した場合、現在のユーザーのセキュリティ コンテキストで任意のコードが実行される可能性があります。 現在のユーザーが管理者権限でログオンしている場合、これらの脆弱性を悪用した攻撃者が影響を受けるシステムを完全に制御する可能性があります。 このような攻撃者はプログラムをインストールしたり、データの閲覧、変更、削除を行ったり、完全なユーザー権限を持つ新しいアカウントを作成したりできるようになります。 システム上でアカウントのユーザー権限が少なく構成されているユーザーは、管理ユーザー権限で作業するユーザーに比べて、受ける影響は少ない可能性があります。
攻撃者はどのようにしてこの脆弱性を悪用する可能性がありますか?
攻撃者は、影響を受けるバージョンの FFmpeg で特別に細工されたファイルをユーザーに開かせることで、これらの脆弱性を悪用する可能性があります。 通常、これらの特別に細工されたファイルは、電子メール、インスタント メッセージング、または Web サイト上のダウンロード リンクを介してソーシャル エンジニアリング手法を使用して配信されます。 これらの脆弱性は、ユーザーの操作なしでは悪用できません。
推奨されるアクション
FFmpeg ダウンロード ページから最新バージョンの FFmpeg に更新します。
その他の情報
謝辞
Microsoft では、次の内容に感謝 しています。
- この問題を発見するための Microsoft の Jeremy Brown
免責情報
このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。
リビジョン
- V1.0 (2012 年 10 月 16 日): アドバイザリが公開されました。
ビルド日: 2014-04-18T13:49:36Z-07:00