データ圧縮ライブラリ「zlib」に含まれる「untgz」に深刻な脆弱性
データ圧縮ライブラリ「zlib」に含まれる一部ユーティリティに深刻な脆弱性が明らかとなった。任意のコードを実行されるおそれがある。
「同1.3.1.2」および以前のバージョンに含まれるユーティリティ「untgz」において、グローバルバッファオーバーフローの脆弱性「CVE-2026-22184」が判明したもの。
一部関数の引数において文字数の検証処理が行われておらず、一定文字数以上の細工されたアーカイブ名を処理させることでバッファオーバーフローを引き起こすことができる。
脆弱性が悪用されると、メモリの破損が発生し、リモートより任意のコードを実行されたり、サービス拒否が生じるおそれがある。
共通脆弱性評価システム「CVSSv4.0」のベーススコアは「9.3」、重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。
現地時間2026年1月7日の時点で、公式サイトやソースリポジトリの最新バージョンは2024年1月にリリースされた「同1.3.1」となっており、修正バージョンは不明。概念実証も公開されている。
(Security NEXT - 2026/01/08 )
ツイート
関連リンク
PR
関連記事
「MOVEit Transfer」に複数脆弱性 - 最新版へ更新を
「IBM WebSphere Application Server」の管理画面に複数脆弱性
「JetBrains」の複数製品に脆弱性 - 「クリティカル」など修正
「Microsoft Defender」に権限昇格の脆弱性 - 修正を実施
SnowflakeのPython向け開発フレームワークに脆弱性
「Cisco ISE」や「RoomOS」に脆弱性 - 7月15日に修正予定
iOS版「Firefox」にアドレスバー偽装が可能となる脆弱性
VPNクライアント「Omnissa Workspace ONE Tunnel」のWindows版に脆弱性
「IBM API Connect」にアップデート - 依存関係含む多数脆弱性を解消
ブラウザ「Chrome」にアップデート - 脆弱性27件を修正
