Vulnérabilités dans FFmpeg
Date de publication :
Plusieurs vulnérabilités ont été découvertes dans FFmpeg, une bibliothèque pour le traitement de flux audio ou vidéo. Elles peuvent permettre à un attaquant de provoquer un impact non spécifié, probablement un déni de service ou une exécution de code arbitraire au vu de la nature des vulnérabilités.
CVE-2019-17539 [Score CVSS v3 : 9.8] : Une vulnérabilité de type déréférencement de pointeur NULL a été découverte dans la fonction avcodec_open2 de FFmpeg. Un déréférencement de pointeur NULL peut permettre à un attaquant de provoquer un déni de service et, dans de rares cas, une exécution de code arbitraire à distance.
CVE-2019-17542 [Score CVSS v3 : 9.8] : Une vulnérabilité de type dépassement de tas a été découverte dans la fonction vqa_decode_chunk de FFmpeg. Ce type de vulnérabilité peut permettre à un attaquant de provoquer un déni de service et / ou une exécution de code arbitraire à distance.
CVE-2020-12284 [Score CVSS v3 : 9.8] : Une vulnérabilité de type dépassement de tas a été découverte dans la fonction cbs_jpeg_split_fragment de FFmpeg. Ce type de vulnérabilité peut permettre à un attaquant de provoquer un déni de service et / ou une exécution de code arbitraire à distance.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire à distance
- Déni de service
Criticité
- Score CVSS v3 : 9.8
Existence d’un code d’exploitation
- Des codes d’exploitation sont disponibles publiquement
Composants vulnérables
- FFmpeg toutes versions jusqu’à la 4.2 (non incluse)
CVE
- CVE-2019-17539
- CVE-2019-17542
- CVE-2020-12284
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour FFmpeg vers une version non vulnérable (voir partie Composants vulnérables)
Solution de contournement
Aucune solution de contournement