FFmpegに脆弱性

Softpediaに1月13日(米国時間)に掲載された記事「Zero-Day FFmpeg Vulnerability Lets Anyone Steal Files from Remote Machines」が、マルチメディア・フレームワーク「FFmpeg」に脆弱性が存在することを伝えた。この脆弱性を悪用されると、細工したビデオデータを読み込ませることで、ローカルにあるデータがリモートのサーバに送信される危険性がある。なお、遠隔からコードが実行される危険性はないとされている。

この脆弱性はロシアのプログラマーによって発見され、すでにFFmpegの開発者も問題を認識していると説明がある。数日中に脆弱性を修正したバージョンがリリースされるとのことで、それまではHLS(HTTP Live Streaming)の機能を無効にしたFFmpegをリビルドして差し替えるなどの回避策を実施してほしいとしている。

FFmpegはLinuxディストリビューションやオープンソース・ソフトウェアで広く採用されているマルチメディア・フレームワーク。アプリケーションからは見えなくても実態はFFmpegを使っているとケースが多く、この脆弱性の影響範囲が広範囲に及んでいる可能性がある。

今回発見された脆弱性はファイルを開くといった明示的な操作をしなくても、インデックスの作成といった作業を行っただけで悪用できるため注意が必要。プロジェクトやベンダーからアップデート版の提供が開始されたら、迅速にアップデートを適用することが推奨される。