ニュース
「Libarchive」ライブラリに脆弱性、7-Zipなどプログラム多数に影響
「脆弱性の影響は多くのサードパーティープログラムに及び、攻撃者が一度に多数の異なるプログラムやシステムを攻撃することが可能」とされる。
米Cisco Systemsのセキュリティ部門Talosは6月21日、幅広いサードパーティープログラムに使われているオープンソースライブラリ「Libarchive」の脆弱性を発見し、メンテナンスチームによるパッチ開発に協力したと発表した。
Libarchiveは、Zipやtarなどさまざまなファイル圧縮フォーマットに対応したライブラリ。FreeBSD向けに開発され、各種LinuxのパッケージマネージャーやChrome OSの拡張機能などさまざまな場面で使われている。
Talosによれば、同ライブラリに3件の深刻な脆弱性が発見され、修正された。中でもLibarchiveで圧縮・解凍ソフトの「7-Zip」をサポートするモジュールの脆弱性は、細工を施した7-Zipファイルを送り付けてlibarchiveで処理させることによってメモリ破損が誘発され、攻撃コードを実行される恐れがあるという。
「こうしたライブラリの脆弱性の根本原因は、圧縮されたファイルから読み込むデータの不適切な検証に起因する」とTalosは解説。「Libarchiveのようなソフトウェアの脆弱性は、それを使っている多くのサードパーティープログラムに影響を及ぼし、攻撃者が一度に多数の異なるプログラムやシステムを攻撃することが可能になる」と警告している。
関連記事
- 画像処理ツール「ImageMagick」に脆弱性、広い範囲に影響の恐れ
PHP、Ruby、NodeJS、Pythonなど多数のプログラミング言語にも使われているImageMagicに脆弱性が見つかった。 - OpenSSLの更新版公開、「DROWN」の脆弱性に対処
OpenSSL 1.0.2gと1.0.1sでは「DROWN」と呼ばれる新たな脆弱性が発覚したことを受け、SSLv2をデフォルトで無効にする措置を講じた。 - 「glibc」ライブラリに脆弱性、Linuxの大部分に深刻な影響
【Update】脆弱性が指摘された機能は大半のUNIXベースシステムでIPアドレスの解決に使われており、影響は広範に及ぶ。 - 脆弱性ある古いlibupnpライブラリが使用のスマート家電、610万台に影響
「Portable SDK for UPnP Devices」(libupnp)というライブラリの脆弱性は2012年に修正されたにもかかわらず、古いバージョンを使い続けているアプリが多数存在するという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.