深刻な脆弱性「CVE-2024-5197」に現在対応中
Brynhildrなどが関係する深刻な脆弱性「CVE-2024-5197」に現在対応中です。
ご心配をおかけしております、本件は現在急ぎ対応中でございます。
https://iototsecnews.jp/2024/06/05/libaom-video-codec-library-exposed-critical-cve-2024-5171-vulnerability-with-cvss-10/
https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-004621.html
libaomで「CVE-2024-5171」というCVSS V2で10.0、CVSS V3で9.8という極めて深刻な脆弱性が発見されました。
https://iototsecnews.jp/2023/09/27/google-fixes-fifth-actively-exploited-chrome-zero-day-of-2023/
https://www.tenable.com/cve/CVE-2023-5217
先日、Brynhildrなどでも対応しましたlibvpxの「CVE-2023-5217」はCVSS V2で10.0、CVSS V3で8.8と極めて深刻な脆弱性でしたが、本件はそれを上回っております。
https://www.tenable.com/cve/CVE-2024-5197
そして、一部の方は既にご存じでご心配されているかと思いますが、「CVE-2024-5171」と同じ仕組みでの脆弱性がBrynhildrなどで利用しているlibvpxにも存在しており「CVE-2024-5197」として発表されています。
「CVE-2024-5197」はCVSS V2で6.8、CVSS V3で7.8と、緊急から1段階低くはなっておりますが、極めて深刻な脆弱性である「CVE-2024-5171」と同じ仕組みでの脆弱性ですので深刻な脆弱性であるのことは変わりありません。
「CVE-2023-5217」のようにスパイウェアでの悪用や乗っ取りなどにつながる可能性もありますので対応を急いでいます。
発表ではlibvpx 1.14.1で対応済みとはありますが、BrynhildrやGungnirは古いOSに対応しているため、公開されている対処済みのライブラリをそのまま使うことができません。
古いVisual Studioでビルドしないと古いOSで動作しないためなのですが、libvpx 1.14.1は古いVisual Studioに対応しておりませんので脆弱性に対して手作業で対応する必要があります。
既に対策方針は固めており「vpx_img_alloc」と「vpx_img_wrap」に対策が必要であると発表されていますが、libvpx 1.14.1のソースコードを確認したところ、いずれの関数から呼ばれている「img_alloc_helper」の方で対策が施されていましたので、同様の修正をBrynhildrなどのlibvpxのライブラリにも施しているところでございます。
BrynhildrだけでなくGungnirやVerethragnaにも影響しますので動作確認に今暫くかかりますのでもう少々お待ちください。
取り急ぎのご報告でございました。