BPGファイルを処理する「libbpg」に脆弱性 - ファイル処理でコード実行のおそれ

画像フォーマット「BPG（Better Portable Graphics）」を処理する際に利用するライブラリ「libbpg」に脆弱性が含まれていることがわかった。セキュリティ機関が注意を呼びかけている。

同ライブラリの一部バージョンに、メモリの境界外へ書き込みを行う脆弱性「CVE-2016-5637」が含まれていることが判明したもの。細工したファイルを同ライブラリで処理すると、サービス拒否が発生したり、任意のコードを実行されるおそれがある。

現在、最新版である「同0.9.7」から「同0.9.5」までに脆弱性が存在することが判明しているが、他バージョンも影響を受けるおそれがあるという。

米時間7月12日の時点で、脆弱性を根本的に修正する手段は提供されていない。セキュリティ機関では、ImageMagickの利用者などに向け、脆弱性の影響を受けないようセキュリティポリシーの変更など緩和策を講じるよう注意を呼びかけている。

（Security NEXT - 2016/07/13 ） ツイート

PR

関連記事

「AEM」に100件超の脆弱性 - 「クリティカル」も複数
オンライン会議ソフト「Zoom Rooms」に脆弱性 - 最新版で修正済み
地理情報サーバ「GeoServer」の脆弱性悪用に注意喚起 - 米当局
「pgAdmin4」リストア処理にRCE脆弱性 - 2カ月連続で判明
地理空間データを活用する「GeoServer」の脆弱性攻撃に注意
Gitサーバ「Gogs」にゼロデイ脆弱性 - 広範囲の公開サーバに侵害痕跡
「React」脆弱性を狙う攻撃が急増、国内SOCで多数観測 - ラック
「Chrome」にゼロデイ脆弱性、詳細は調整中 - アップデートで修正
ワークフロー実行ツール「n8n」に脆弱性 - アップデートで修正
監視ツール「Barracuda RMM」に深刻な複数脆弱性 - アップデートを