CVE-2015-8661, CVE-2015-8662, CVE-2015-8663
CVE-2015-6792, CVE-2015-8664


[보안뉴스 문가용] 현지 시각으로 12월 23일, 우리나라 시간으로는 대략 23일에서 24일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.

1. CVE-2015-8661
FFmpeg 2.8.3 이전 버전의 libavcodec/h264_slice.c 내 h264_slice_header_init 함수의 취약점으로 쓰레드의 수와 슬라이스의 수 사이의 관계를 확인하지 않아서 발생한다. 원격의 공격자가 이를 악용할 경우 DoS 공격이 가능하며 그밖에 다른 영향을 끼칠 수도 있게 된다.

2. CVE-2015-8662
FFmpeg 2.8.4 이전 버전의 libavcodec/jpeg2000dwt.c 내 ff_dwt_decode 함수에 있는 취약점으로 Discrete Wavelet Transform 디코딩을 처리할 때 decomposition level의 수를 확인하지 않아서 발생한다. 원격의 공격자가 이를 악용할 경우 DoS 공격이 가능하며 그밖에 다른 영향을 끼칠 수도 있게 된다.

3. CVE-2015-8663
FFmpeg 2.8.4 이전의 libavcodec/utils.c 내 ff_get_buffer 함수에 있는 취약점으로 실패 후 너비 값과 높이 값을 그대로 유지하기 때문에 발생한다. 원격의 공격자가 이를 악용할 경우 DoS 공격이 가능하며 그밖에 다른 영향을 끼칠 수도 있게 된다.

4. CVE-2015-6792
구글 크롬 47.0.2526.106 이전 버전에 있는 MIDI 서브시스템에 있는 취약점으로 데이터 전송을 올바로 처리하지 않는다. 이를 악용할 경우 원격의 공격자가 임으의 코드를 실행하거나 DoS 공격을 해 애플리케이션을 다운시킬 수 있게 된다. midi_manager.cc, midi_manager_alsa.cc, midi_manager_mac.cc와 관련이 있으나 CVE-2015-8664와는 다른 취약점이다.

5. CVE-2015-8664
구글 크롬 47.0.2526.106 이전 버전의 content/common/cursors/webcursor.cc 내 WebCursor::Deserialize 함수에 있는 정수 오버플로우 취약점으로 원격의 공격자가 DoS를 일으키거나 다른 영향을 끼칠 수 있게 한다. CVE-2015-6792와는 다른 취약점이다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>