「FFmpeg」に致命的な脆弱性 ～修正版の「FFmpeg 4.2.3」が公開

「FFmpeg 4.2.3」が公開

　The FFmpeg projectは5月21日、オープンソースのマルチメディアフレームワーク「FFmpeg」の最新版「FFmpeg 4.2.3」を公開した。ソースコードは現在、本ソフトの公式サイトからダウンロード可能。

　「FFmpeg 4.2.3」は、「FFmpeg 4.2」（コードネーム：Ada）系統ののメンテナンスアップデート。「libavcodec」におけるヒープベースのバッファーオーバーリード（CVE-2019-13312）とバッファーオーバーフロー（CVE-2020-12284）の問題が解決された。脆弱性の深刻度は“CVSS v3”の基本値で前者が“8.8（High）”、後者が“9.8（Critical）”。

　「FFmpeg」は、音声・動画ファイルのフォーマットを変換するツールやライブラリから構成されるオープンソースのマルチメディアフレームワーク。「Google Chrome」や「MPlayer」、「VLC media player」といったオーディオ・ビデオを扱うさまざまなソフトで利用されている。Windows向け「FFmpeg」はWindows 7降に対応しており、バイナリは“Zeranoe FFmpeg”で提供される。