CVE-2017-9992, CVE-2017-9993, CVE-2017-9994
CVE-2017-9995, CVE-2017-9996

[보안뉴스 문가용 기자] 현지 시각으로 6월 27일, 우리나라 시간으로는 대략 27일에서 28일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.


1. CVE-2017-9992
FFmpeg 2.8.12 이전 버전, 3.0.8 이전 3.0.x 버전, 3.1.8 이전 3.1.x 버전, 3.2.5 이전 3.2.x 버전, 3.3.1 이전 3.3.x 버전의 libavcodec/dfa.c의 decode_dds1 함수의 버퍼 오버플로우 취약점으로 원격의 공격자들이 조작된 파일을 통해 DoS 공격을 감행할 수 있도록 해준다.

2. CVE-2017-9993
FFmpeg 2.8.12 이전 버전, 3.0.8 이전 3.0.x 버전, 3.1.8 이전 3.1.x 버전, 3.2.5 이전 3.2.x 버전, 3.3.1 이전 3.3.x 버전의 취약점으로 HTTP Live Streaming 파일이름 확장자와 demuxer 이름을 제대로 제약하지 않는다. 이로써 공격자들이 임의의 파일을 읽을 수 있게 된다.

3. CVE-2017-9994
FFmpeg 2.8.12 이전 버전, 3.0.8 이전 3.0.x 버전, 3.1.8 이전 3.1.x 버전, 3.2.5 이전 3.2.x 버전, 3.3.1 이전 3.3.x 버전의 libavcodec/webp.c의 취약점으로 원격의 공격자들이 조작된 파일을 통해 DoS 공격을 일으킬 수 있도록 해준다.

4. CVE-2017-9995
FFmpeg 3.3.1 이전 3.3 버전의 libavcodec/scpr.c의 취약점으로 높이와 너비 데이터를 확인하지 않아 원격의 공격자들이 조작된 파일을 통해 DoS 공격을 일으킬 수 있게 해준다.

5. CVE-2017-9996
FFmpeg 2.8.12 이전 버전, 3.0.8 이전 3.0.x 버전, 3.1.8 이전 3.1.x 버전, 3.2.5 이전 3.2.x 버전, 3.3.1 이전 3.3.x 버전의 libavcodec/cdxl.c의 cdxl_decode_frame 함수에 있는 취약점으로 조작된 파일을 통해 원격의 공격자가 DoS 공격을 감행할 수 있도록 해준다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>