Brynhildr

KeroRemote

リモートデスクトップエンジニアのブログ。

深刻な脆弱性「CVE-2024-5197」に現在対応中



Brynhildrなどが関係する深刻な脆弱性「CVE-2024-5197」に現在対応中です。




ご心配をおかけしております、本件は現在急ぎ対応中でございます。

https://iototsecnews.jp/2024/06/05/libaom-video-codec-library-exposed-critical-cve-2024-5171-vulnerability-with-cvss-10/

https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-004621.html

libaomで「CVE-2024-5171」というCVSS V2で10.0、CVSS V3で9.8という極めて深刻な脆弱性が発見されました。

https://iototsecnews.jp/2023/09/27/google-fixes-fifth-actively-exploited-chrome-zero-day-of-2023/

https://www.tenable.com/cve/CVE-2023-5217

先日、Brynhildrなどでも対応しましたlibvpxの「CVE-2023-5217」はCVSS V2で10.0、CVSS V3で8.8と極めて深刻な脆弱性でしたが、本件はそれを上回っております。

https://www.tenable.com/cve/CVE-2024-5197

そして、一部の方は既にご存じでご心配されているかと思いますが、「CVE-2024-5171」と同じ仕組みでの脆弱性がBrynhildrなどで利用しているlibvpxにも存在しており「CVE-2024-5197」として発表されています。

「CVE-2024-5197」はCVSS V2で6.8、CVSS V3で7.8と、緊急から1段階低くはなっておりますが、極めて深刻な脆弱性である「CVE-2024-5171」と同じ仕組みでの脆弱性ですので深刻な脆弱性であるのことは変わりありません。

「CVE-2023-5217」のようにスパイウェアでの悪用や乗っ取りなどにつながる可能性もありますので対応を急いでいます。

発表ではlibvpx 1.14.1で対応済みとはありますが、BrynhildrやGungnirは古いOSに対応しているため、公開されている対処済みのライブラリをそのまま使うことができません。
古いVisual Studioでビルドしないと古いOSで動作しないためなのですが、libvpx 1.14.1は古いVisual Studioに対応しておりませんので脆弱性に対して手作業で対応する必要があります。

既に対策方針は固めており「vpx_img_alloc」と「vpx_img_wrap」に対策が必要であると発表されていますが、libvpx 1.14.1のソースコードを確認したところ、いずれの関数から呼ばれている「img_alloc_helper」の方で対策が施されていましたので、同様の修正をBrynhildrなどのlibvpxのライブラリにも施しているところでございます。

BrynhildrだけでなくGungnirやVerethragnaにも影響しますので動作確認に今暫くかかりますのでもう少々お待ちください。

取り急ぎのご報告でございました。


コメントはまだありません ... ( 管理人承認制 )





... 不具合報告の際は、アプリのバージョンやOS等の動作環境の記載を御願い致します。

表記されている会社名・製品名・システム名などは、各社の商標、または登録商標です。
当サイトはAmazon.co.jpアソシエイトプログラムに参加しています。
© 2010-2024 LAUNCELOT CO. LTD.