PT-2022-6793 · FFmpeg+5 · Ffmpeg+5

Jiasheng Jiang

·

Publicado

2022-02-18

·

Atualizado

2025-08-07

·

CVE-2022-3109

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Versões do FFmpeg anteriores à 3.0
Descrição
Foi descoberta uma vulnerabilidade no pacote FFmpeg, na qual a função vp3 decode frame em libavcodec/vp3.c não verifica o valor de retorno de av malloc(), o que causa uma desreferência de ponteiro nulo. Isso afeta a disponibilidade e, potencialmente, a confidencialidade. A vulnerabilidade pode ser explorada por um invasor remoto para causar uma negação de serviço.
Recomendações
Para versões do FFmpeg anteriores à 3.0, considere atualizar para uma versão que inclua uma correção para esta falha. Como solução temporária, considere restringir o acesso à função vp3 decode frame em libavcodec/vp3.c para minimizar o risco de exploração. Além disso, certifique-se de que o tratamento de erros para alocação de memória esteja implementado corretamente para evitar falhas semelhantes.

Correção

NULL Pointer Dereference

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-476

Identificadores relacionados

ALT-PU-2023-2034
ALT-PU-2023-2095
ALT-PU-2023-4100
ALT-PU-2023-4117
ALT-PU-2023-4151
ALT-PU-2023-5511
BDU:2023-04787
CVE-2022-3109
DLA-3454-1
DSA-5394-1
MGASA-2023-0004
OESA-2024-1804
OESA-2024-1806
OESA-2024-1807
OESA-2024-1808
OPENSUSE-SU-2023_0007-1
OPENSUSE-SU-2023_0008-1
OPENSUSE-SU-2024:12585-1
ROSA-SA-2023-2277
SUSE-SU-2023:0005-1
SUSE-SU-2023:0007-1
SUSE-SU-2023:0008-1
SUSE-SU-2023_0007-1
SUSE-SU-2023_0008-1
USN-5958-1

Produtos afetados

Alt Linux
Astra Linux
Ffmpeg
Linuxmint
Suse
Ubuntu