「FFmpeg」、圧縮アルゴリズム“LZO”の実装コードに20年存在した脆弱性を修正

　FFmpeg projectは29日、オープンソースのマルチメディアフレームワーク「FFmpeg」v2.2.4/2.1.5/2.0.5/1.2.7/1.1.12/0.10.14を公開した。今回のアップデートでは、圧縮アルゴリズム“LZO”のオープンソース実装で発見された脆弱性が修正された。この脆弱性は20年前から存在していたという。

　“Lempel-Ziv-Oberhumer （LZO）”は可逆データ圧縮アルゴリズムの一種で、1994年にMarkus Oberhumer氏によって開発された。伸張速度が“zlib”や“bzip”よりも4倍から5倍速いことから、Linuxカーネルや「OpenVPN」、「FFmpeg」といった幅広いソフトウェアで利用されている。自動車や航空機をはじめとする組み込みシステムでも10年以上にわたって広く活用されており、2012年に火星へ降り立ったNASAの探査ローバー“キュリオシティ”にも搭載されるなど、最近では活躍の場を宇宙にまで広げている。

　今回発見された脆弱性は、データを展張する際、特定の状況でバッファオーバーフローが引き起こされ、メモリが破壊されるというもの。「FFmpeg」の“LZO”実装の場合、リモートからのコード実行やDoS攻撃に悪用される恐れがあるという。

　“LZO”はさまざまなプラットフォームへ移植されており、派生コードも数多く存在しているが、その多くはOberhumer氏による実装をもとしていると考えられる。今回発見された脆弱性は初期のコードに紛れ込んでいたため、派生コードにも脆弱性が含まれている可能性は高く、影響範囲は大きそうだ。