Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

IoT機器や制御機器に用いるRTOSなどにRCE脆弱性「BadAlloc」

IoT機器やOT機器などが搭載する「リアルタイムオペレーティングシステム(RTOS)」などに、リモートよりコードを実行されるおそれがある脆弱性「BadAlloc」が明らかとなった。

複数の「リアルタイムオペレーティングシステム(RTOS)」や関連する「ソフトウェア開発キット(SDK)」「Cライブラリ(libc)」の実装において、メモリを割り当てる際の検証処理に不備があり、ヒープオーバーフローが生じる脆弱性が明らかとなったもの。

マイクロソフトのリサーチチームが発見、報告したもので、「メモリの割り当て(アロケーション)」に関する問題であることから、一連の脆弱性を「BadAlloc」と名付けている。

幅広い製品に影響があり、脆弱性はCVEベースで25件超におよぶ。脆弱性を悪用されると、リモートよりコードを実行されたり、サービス拒否に陥るおそれがあるという。

脆弱性によって共通脆弱性評価システム「CVSSv3」のベーススコアは異なるが、Red Hatが開発した組み込みシステム向けのCライブラリ「Redhat newlib」に明らかとなった「CVE-2021-3420」は、「9.8」とレーティングされている。

(Security NEXT - 2021/05/07 ) このエントリーをはてなブックマークに追加

PR

関連記事

ウェブアプリや周辺インフラにも対応する脆弱性診断サービス
「vCenter Server」脆弱性、実証コード公開済み - 5月28日ごろより探索も
「Adobe Acrobat/Reader」に深刻な脆弱性 - アップデートがリリース
複数のOSSメッセージブローカーにサービス拒否の脆弱性
「Chrome 91.0.4472.101」が公開 - ゼロデイ脆弱性に対応
「ウイルスバスター for Home Network」に3件の脆弱性
11製品にセキュリティアップデート、深刻な脆弱性も - Adobe
SAP、6月の月例パッチを公開 - 適用優先度高い脆弱性も
MS、6月の月例パッチをリリース - 脆弱性6件がすでに悪用
「VMware vCenter Server」の深刻な脆弱性に悪用の動き - 米政府が注意喚起