セキュリティ

SECURITY

公開：2024-12-22

【CVE-2024-47775】GStreamer 1.24.10未満にバッファ境界チェックの脆弱性、アップデートで対応必要に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• GStreamerの1.24.10未満にバッファ読み取りの脆弱性
• 関数parse_ds64でデータ境界チェック不足が発生
• アウトオブバウンド読み取りでDoSやデータ漏洩の可能性

GStreamer 1.24.10未満のparse_ds64関数に境界チェックの脆弱性

セキュリティ研究者らは2024年12月11日、マルチメディアフレームワークGStreamerの1.24.10未満のバージョンにおいて、関数parse_ds64内のバッファ読み取り処理に脆弱性が存在することを公表した。parse_ds64関数がGST_READ_UINT32_LE操作を実行する前にバッファサイズの検証を行っていないため、想定より小さいバッファに対して境界外読み取りが発生する可能性がある。^[1]

GStreamerはメディア処理コンポーネントのグラフを構築するためのライブラリであり、この脆弱性は【CVE-2024-47775】として識別されている。攻撃者がこの脆弱性を悪用した場合、サービス拒否攻撃や機密データの漏洩につながる可能性があることから、ユーザーには1.24.10へのアップデートが推奨される。

この脆弱性の深刻度はCVSS v4.0で5.1（MEDIUM）と評価されており、攻撃元区分はローカル、攻撃条件の複雑さは低いとされている。また、攻撃に必要な特権レベルや利用者の関与は不要とされており、機密性への影響はないものの、完全性と可用性には低レベルの影響があるとされている。

GStreamer 1.24.10未満の脆弱性詳細

アウトオブバウンド読み取りについて

アウトオブバウンド読み取りとは、プログラムが確保されたメモリ領域の範囲を超えてデータを読み取ろうとする脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• プログラムが想定外のメモリ領域にアクセスを試みる動作
• セグメンテーション違反によるプログラムのクラッシュが発生する可能性
• システムメモリ内の機密情報が漏洩するリスクがある

アウトオブバウンド読み取りは、CWE-125として分類される一般的なメモリ管理の脆弱性である。GStreamerのparse_ds64関数における実装では、バッファサイズの検証が適切に行われていないため、GST_READ_UINT32_LE操作時に想定外のメモリ領域を読み取る可能性が存在する。

GStreamerの脆弱性対応に関する考察

GStreamerの開発チームが迅速にセキュリティアップデートを提供したことは、オープンソースプロジェクトのセキュリティ管理体制の健全性を示している。脆弱性の影響範囲が限定的であり、攻撃の複雑さが低いにもかかわらず、迅速な対応を行ったことでユーザーの信頼を維持することができるだろう。

今後はバッファ操作に関する静的解析ツールの導入やコードレビューの強化により、同様の脆弱性を事前に検出する仕組みの構築が求められる。特にメディア処理ライブラリは入力データの検証が重要であり、バウンダリチェックの自動化や型安全な実装への移行を検討すべきだ。

また、セキュリティアドバイザリの公開プロセスについても改善の余地がある。脆弱性の技術的な詳細だけでなく、影響を受けるユースケースや具体的な対策手順をより詳細に提供することで、ユーザーの適切な対応を支援できるはずだ。

参考サイト

1. ^ CVE. 「CVE-2024-47775 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-47775, (参照 24-12-22).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧