「OpenJPEG」に脆弱性--遠隔地からのコード実行を許す可能性

Charlie Osborne (ZDNET.com) 翻訳校正: 編集部

2016-10-04 11:17

 Cisco Talosの研究者らは米国時間9月30日、OpenJPEGの「JPEG 2000コーデック」に深刻な脆弱性を発見していたことを発表した。この脆弱性が悪用されれば、遠隔地からの攻撃によって任意のコードを実行される可能性があるという。

 この脆弱性(CVE-2016-8332)は、OpenJPEGライブラリ内の、JPEG 2000の画像ファイル形式を解析する実装で、ヒープ領域の境界を越えた書き込み(Out-Of-Bounds Write)を許すというものだ。こういった領域外への書き込みによって、ヒープの破壊がもたらされたり、任意のコードの実行を許してしまう可能性がある。

 OpenJPEGとはC言語によって書かれたオープンソースのJPEG 2000コーデックのこと。PopplerやMuPDF、PdfiumソフトウェアなどでPDFファイル内に画像フォーマットを埋め込む際などに広く使われている画像圧縮標準JPEG 2000を推進するために作られた。

 共通脆弱性評価システム(CVSS)のスコアで7.5と評価されたこの脆弱性は、JPEG 2000形式のファイル内に存在するMCC(Multiple Component Collection)レコードの解析時に発生したエラーによって、「ヒープ領域に隣接したメモリに対する不正な読み込みや書き込み」が引き起こされるというものだ。こういった誤動作を悪用すると、ヒープ領域のメタデータプロセス上でのメモリ破壊を発生させることができる。

 Cisco Talosによると、攻撃者はある種の仕掛けを施したJPEG 2000画像ファイルを被害者に開かせることで、この脆弱性を悪用できるという。例えば、攻撃者はこのような画像ファイルをフィッシングメールに添付したり、「Google Drive」や「Dropbox」といった一般的なサービス上でホストし、ダウンロードさせることで、遠隔地からコードを実行できるようになる。

 この脆弱性はOpenJPEGのopenjp2のバージョン2.1.1で発見されたものだ。

 なお、Cisco Talosは影響のあるベンダーに対して、7月26日にこの脆弱性を通知し、脆弱性の一般公開に先がけて、問題を修正するためのパッチを準備できる期間を設けていた。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  4. ビジネスアプリケーション

    急速に進むIT運用におけるAI・生成AIの活用--実態調査から見るユーザー企業の課題と将来展望

  5. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]