セキュリティ情報

OpenJPEGライブラリに脆弱性、悪意あるJPEGファイルを読み込んだだけで任意のコードが実行される恐れ

fossBytesは10月4日(現地時間)、OpenJPEGライブラリopenjp2 2.1.1に脆弱性が存在すると発表した。

この脆弱性は、悪意ある細工をしたJPEG 2000ファイルを読み込むことで、隣接したヒープエリアに不正な書き込みが行われ、任意のコードが実行されてしまう危険がある。このライブラリを利用しているアプリケーションは多数に渡るため注意が必要。JPEG 2000はPDFに組み込む際に使われることが多いため、特に注意が必要となる。

この脆弱性は、たとえばメールに悪意のあるJPEG 2000ファイルを添付したり、PDFファイルに紛れ込ませたりするだけでユーザに影響を及ぼすことができてしまう。なお、今回の脆弱性に対応したパッチは既に公開されているため、ユーザは早期のアプリケーションのアップグレードが推奨される。

(川原 龍人/びぎねっと)

[関連リンク]
記事本文