製品・ソフトウェアに関する情報

JVN脆弱性詳細

Windows Media Player などで使用される Xvid の xvidcore/src/decoder.c の初期化機能におけるヒープベースのバッファオーバーフローの脆弱性

Title	Windows Media Player などで使用される Xvid の xvidcore/src/decoder.c の初期化機能におけるヒープベースのバッファオーバーフローの脆弱性
Summary	Windows Media Player およびその他のアプリケーションで使用される Xvid の xvidcore/src/decoder.c の初期化機能の decoder_create 関数は、DirectShow フロントエンドに関する処理、および巧妙に細工されたムービーファイルの処理中に XVID_ERR_MEMORY が返すコードを適切に処理しない不備があるため、ヒープベースのバッファオーバーフローの脆弱性が存在します。
Possible impacts	第三者により、任意のコードを実行される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 16, 2007, midnight
Registration Date	Dec. 20, 2012, 7:10 p.m.
Last Update	Dec. 20, 2012, 7:10 p.m.

Affected System

xvid

xvid 1.2.2 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-0894	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0894
National Vulnerability Database (NVD)
2	CVE-2009-0894	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-0894

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-119	https://jvndb.jvn.jp/ja/cwe/CWE-119.html

ベンダー情報

No	Name	URL
xvid
1	Diff of /xvidcore/src/decoder.c	http://cvs.xvid.org/cvs/viewvc.cgi/xvidcore/src/decoder.c?r1=1.80&r2=1.81

Change Log

No	Changed Details	Date of change
0	[2012年12月20日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2009-0894

Summary	Heap-based buffer overflow in the decoder_create function in the initialization functionality in xvidcore/src/decoder.c in Xvid before 1.2.2, as used by Windows Media Player and other applications, allows remote attackers to execute arbitrary code via vectors involving the DirectShow (aka DShow) frontend and improper handling of the XVID_ERR_MEMORY return code during processing of a crafted movie file. NOTE: some of these details are obtained from third party information.
Summary	Desbordamiento de búfer basado en memoria dinámica en la funcion decoder_create en la inicialización de la funcionalidad en xvidcore/src/decoder.c en Xvid anteriores a v1.2.2, tal y como se utiliza en Windows Media Player y otras aplicaciones, permite a atacantes remotos ejecutar código de forma arbitraria a través de vectores relacionados con el frontend de DirectShow (aka DShow) y el maneja inadecuado del código de retorno de XVID_ERR_MEMORY durante el proceso de manejo de un fichero de película manipulado. NOTA: Algunos de los detalles de esta información fueron obtenidos de terceras partes.
Publication Date	June 3, 2009, 3:30 a.m.
Registration Date	Jan. 29, 2021, 1:15 p.m.
Last Update	April 23, 2026, 9:35 a.m.

Affected software configurations

Related information, measures and tools

No	URL	refsource
1	http://cvs.xvid.org/cvs/viewvc.cgi/xvidcore/src/decoder.c	cve@mitre.org
2	http://cvs.xvid.org/cvs/viewvc.cgi/xvidcore/src/decoder.c?r1=1.80&r2=1.81	cve@mitre.org
3	http://www.securityfocus.com/bid/35158	cve@mitre.org
4	http://www.xvid.org/News.64.0.html?&cHash=0170b4e439&tx_ttnews%5BbackPid%5D=64&tx_ttnews%5Btt_news%5D=7	cve@mitre.org
5	https://www.it-isac.org/postings/cyber/alertdetail.php?id=4635&selyear=2009&menutype=menupublic	cve@mitre.org
6	http://cvs.xvid.org/cvs/viewvc.cgi/xvidcore/src/decoder.c	af854a3a-2127-422b-91ae-364da2661108
7	http://cvs.xvid.org/cvs/viewvc.cgi/xvidcore/src/decoder.c?r1=1.80&r2=1.81	af854a3a-2127-422b-91ae-364da2661108
8	http://www.securityfocus.com/bid/35158	af854a3a-2127-422b-91ae-364da2661108
9	http://www.xvid.org/News.64.0.html?&cHash=0170b4e439&tx_ttnews%5BbackPid%5D=64&tx_ttnews%5Btt_news%5D=7	af854a3a-2127-422b-91ae-364da2661108
10	https://www.it-isac.org/postings/cyber/alertdetail.php?id=4635&selyear=2009&menutype=menupublic	af854a3a-2127-422b-91ae-364da2661108

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-119	バッファエラー	https://cwe.mitre.org/data/definitions/118.html