深刻な脆弱性「CVE-2024-5197」に対応完了
深刻な脆弱性「CVE-2024-5197」に対応完了しました。
https://www.tenable.com/cve/CVE-2024-5197
libvpxに存在した脆弱性「CVE-2024-5197」への対応版は既にリリース済みですが、動作的にも特に問題は起こっていないことを確認しております。ですので、とりあえず本件は対応完了といたします。
本件は、libaomの脆弱性と同じものがlibvpxにも存在したのですが、CVSSによるとlibvpxの方が緊急性が低いのは、やはりVPxよりもAV1の方が普及してきたからとゆーことでしょうか。去年の「CVE-2023-5217」のよーにオオゴトになっていないのは、「libvpx 1.14.1」で既に対策済みだからでしょうか。Chrome リモートデスクトップもlibvpxは使ってると思うんですけど。ちょっと謎なんですよね。
そもそも「JVN iPedia」に「CVE-2024-5197」が登録されていないのが不思議なんですけど。6月上旬に公表されたのでまだ認知されていないってこともないと思うんですけど、国内では影響がそれほどないとかそーいった判断基準なんでしょうか。ま、Brynhildrみたいにピンポイントで影響があるてのも珍しいかもしれないんですが。
そんなこんなでミステリーな点は3つ。
1.脆弱性の原因が同じにも関わらず「CVE-2024-5197」が「CVE-2024-5171」よりも緊急性が低いのはなぜか?(CVSSが低いなど)
2.「CVE-2024-5197」が「CVE-2023-5217」よりも緊急性が低いのはなぜか?(原因が異なるからか?だとすると1に矛盾が)
3.「CVE-2024-5197」の脆弱性があまり表に出てこないのなぜか?(JVN iPediaに登録されていないなど)
ま、「CVE-2023-5217」の時はスパイウェアのインストールなどの攻撃が既に確認されていたってのもあるかもしれないですね、と考察。(だとすると1に矛盾が)
いずにしましても調べたところ影響範囲は狭いかもしれないものの凶悪である(特にBrynhildrとかにとっては)ことは確かですので、速やかにアップデートの方をよろしくお願いいたします。
Verethragna
Gungnir
Brynhildr
KeroKeyboard