2017-1153: FFmpeg: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2017-07-05 14:57): Neues Advisory

Betroffene Software

Office
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen in der Bibliothek FFmpeg ermöglichen einem entfernten, nicht authentisierten Angreifer mittels präparierter Dateien in verschiedenen Funktionen von FFmpeg Pufferüberläufe (Buffer Overflows) auszulösen und dadurch Denial-of-Service (DoS)-Angriffe durchzuführen oder möglicherweise weiteren Einfluss auszuüben, wozu sehr wahrscheinlich auch das Ausführen beliebigen Programmcodes gehört. Eine weitere Schwachstelle ermöglicht auch das Ausspähen von Informationen aus beliebigen Dateien. In kombinierter Ausnutzung mit anderen Schwachstellen ist dies vermutlich auch für einen entfernten, nicht authentisierten Angreifer möglich.

Der Hersteller bestätigt die Schwachstellen und hat bis zum aktuellen Zeitpunkt FFmpeg 2.8.12, 3.0.8, 3.1.9, 3.2.6 und 3.3.2 als Sicherheitsupdates bereitgestellt. Die Schwachstellen CVE-2017-9991, CVE-2017-9992, CVE-2017-9994 und CVE-2017-9996 wurden mit den FFmpeg Version 2.8.12, 3.0.8, 3.1.8 und 3.2.5 behoben sowie mit FFmpeg 3.3.1 zusätzlich CVE-2017-9990, während CVE-2017-9993 in den Versionszweigen 3.x erst mit 3.1.9, 3.2.6 und 3.3.2 adressiert wurde.

Für SUSE Package Hub for SUSE Linux Enterprise 12 stehen Sicherheitsupdates auf FFmpeg 2.8.12 bereit, womit also die Schwachstellen CVE-2017-9991, CVE-2017-9992, CVE-2017-9993, CVE-2017-9994 und CVE-2017-9996 adressiert werden. Es stehen weitere Informationen zu behobenen Schwachstellen zur Verfügung, für die keine eigenen Schwachstellenbezeichner beantragt wurden.