ニュース

マルチメディアフレームワーク「FFmpeg」の最新版v2.8.5が公開、2件の脆弱性修正

「FFmpeg」v2系統に影響し、任意のローカルファイルを読み取られる恐れ

 The FFmpeg projectは15日、オープンソースのマルチメディアフレームワーク「FFmpeg」の最新版v2.8.5を公開した。本バージョンでは、2件の脆弱性が修正されている。

 1つ目は“HTTP Live Streaming(HLS)”の“concat(連結)”プロトコルに不具合があり、“M3U8”形式のメディアリストを再生する際にクロスオリジン攻撃を受ける恐れがあるというもの(CVE-2016-1897)。「FFmpeg」v2系統に影響し、任意のローカルファイルを読み取られる恐れがある。本脆弱性の評価は“CVSS v3”で基本値“5.5(警告)”、“CVSS v2”で基本値“4.3(警告)”となっている。もう1つの脆弱性(CVE-2016-1898)も“HLS”における“M3U8”ファイルの扱いに起因するものとなっている。

 また、v2.8.4では2件、v2.8.3では4件の脆弱性も修正されているので注意。なるべく早いアップデートを心掛けたい。

 「FFmpeg」は、音声・動画ファイルのフォーマットを変換するツールやライブラリから構成されるオープンソースのマルチメディアフレームワーク。「Google Chrome」や「MPlayer」、「VLC media player」といったオーディオ・ビデオを扱うさまざまなソフトで利用されている。ソースコードは、現在「FFmpeg」の公式サイトからダウンロード可能。Windows向けのバイナリは“Zeranoe FFmpeg”からダウンロードできる。

(樽井 秀人)