Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

IoT機器や制御機器に用いるRTOSなどにRCE脆弱性「BadAlloc」

IoT機器やOT機器などが搭載する「リアルタイムオペレーティングシステム(RTOS)」などに、リモートよりコードを実行されるおそれがある脆弱性「BadAlloc」が明らかとなった。

複数の「リアルタイムオペレーティングシステム(RTOS)」や関連する「ソフトウェア開発キット(SDK)」「Cライブラリ(libc)」の実装において、メモリを割り当てる際の検証処理に不備があり、ヒープオーバーフローが生じる脆弱性が明らかとなったもの。

マイクロソフトのリサーチチームが発見、報告したもので、「メモリの割り当て(アロケーション)」に関する問題であることから、一連の脆弱性を「BadAlloc」と名付けている。

幅広い製品に影響があり、脆弱性はCVEベースで25件超におよぶ。脆弱性を悪用されると、リモートよりコードを実行されたり、サービス拒否に陥るおそれがあるという。

脆弱性によって共通脆弱性評価システム「CVSSv3」のベーススコアは異なるが、Red Hatが開発した組み込みシステム向けのCライブラリ「Redhat newlib」に明らかとなった「CVE-2021-3420」は、「9.8」とレーティングされている。

(Security NEXT - 2021/05/07 ) このエントリーをはてなブックマークに追加

PR

関連記事

Adobe、複数製品にセキュリティ更新 - CVSS基本値「9.8」の脆弱性も
SAP、月例パッチ13件をリリース - 重要度がもっとも高い「HotNews」は2件
「QVR」が稼働するQNAP製NASにRCEの脆弱性が判明
VMware、「vRO」など複数製品の脆弱性を修正
「Adobe Acrobat/Reader」に深刻な脆弱性 - 修正パッチが公開
MS、10月の月例セキュリティ更新をリリース - ゼロデイ脆弱性1件含む74件を解消
Google、「Chrome 94.0.4606.81」を公開 - 脆弱性4件を修正
「iOS 15.0.2」「iPadOS 15.0.2」がリリース - 悪用報告ある脆弱性に対処
Nike製アプリに脆弱性 - フィッシングに悪用されるおそれ
わずか3日、「Apache HTTPD」が再修正 - 前回修正は不十分、RCEのおそれも