「FFmpeg」に2件の脆弱性 ～修正版の「FFmpeg 4.3.1」が公開

「FFmpeg 4.3.1」が公開

　The FFmpeg projectは7月11日、オープンソースのマルチメディアフレームワーク「FFmpeg」の最新版「FFmpeg 4.3.1」を公開した。ソースコードは現在、本ソフトの公式サイトからダウンロード可能。

　「FFmpeg 4.3.1」は、「FFmpeg 4.3」（コードネーム：“4:3”）系統のメンテナンスアップデート。コンポーネントのアップデートが行われたほか、2件の脆弱性が修正された。

• CVE-2020-13904：「libavformat」でm3u8形式メディアプレイリストファイルをパースする処理に解放後メモリ利用（Use After Free）の欠陥。“CVSS 3”の基本値は“5.5（MEDIUM）”
• CVE-2020-14212：「libavformat」におけるヒープベースのバッファオーバーフロー。“CVSS 3”の基本値は“8.8（HIGH）”

　「FFmpeg」は、音声・動画ファイルのフォーマットを変換するツールやライブラリから構成されるオープンソースのマルチメディアフレームワーク。「Google Chrome」や「MPlayer」、「VLC media player」といったオーディオ・ビデオを扱うさまざまなソフトで利用されている。Windows向け「FFmpeg」はWindows 7降に対応しており、バイナリは“Zeranoe FFmpeg”で提供される。