Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

IoT機器や制御機器に用いるRTOSなどにRCE脆弱性「BadAlloc」

IoT機器やOT機器などが搭載する「リアルタイムオペレーティングシステム(RTOS)」などに、リモートよりコードを実行されるおそれがある脆弱性「BadAlloc」が明らかとなった。

複数の「リアルタイムオペレーティングシステム(RTOS)」や関連する「ソフトウェア開発キット(SDK)」「Cライブラリ(libc)」の実装において、メモリを割り当てる際の検証処理に不備があり、ヒープオーバーフローが生じる脆弱性が明らかとなったもの。

マイクロソフトのリサーチチームが発見、報告したもので、「メモリの割り当て(アロケーション)」に関する問題であることから、一連の脆弱性を「BadAlloc」と名付けている。

幅広い製品に影響があり、脆弱性はCVEベースで25件超におよぶ。脆弱性を悪用されると、リモートよりコードを実行されたり、サービス拒否に陥るおそれがあるという。

脆弱性によって共通脆弱性評価システム「CVSSv3」のベーススコアは異なるが、Red Hatが開発した組み込みシステム向けのCライブラリ「Redhat newlib」に明らかとなった「CVE-2021-3420」は、「9.8」とレーティングされている。

(Security NEXT - 2021/05/07 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Django」にDoS攻撃受けるおそれ - アップデートで対処
ライブラリ「libuv」にSSRFの脆弱性 - アップデートで解消
「VMware拡張認証プラグイン」に脆弱性 - 削除か無効化を
エレコム製の複数無線「LAN」ルータに3件の脆弱性
GitLab、アップデートで4件の脆弱性を修正
「GitLab」に月例セキュリティリリース - 深刻な脆弱性を解消
「GitHub Enterprise Server」に10件の脆弱性 - アップデートで修正
「ClamAV」にアップデート - 脆弱性2件を解消
Palo Altoの「PAN-OS」に5件の脆弱性 - アップデートにて修正
「Ghostscript」旧版に「クリティカル」とされる脆弱性