ITmedia NEWS > 速報 >

Linuxで利用のlibtiffとGaimに脆弱性

» 2004年10月26日 09時28分 公開
[IDG Japan]
IDG

 Linuxで広く使われているグラフィックスデコーダのlibtiffとインスタントメッセージング(IM)クライアントのGaimに、新たな脆弱性が見つかった。

 libtiffのRLEデコーディングコンポーネントに影響する一連の境界エラーは研究者のクリス・エバンズ氏が発見した。これを突かれるとヒープベースのバッファオーバーフローを誘発する恐れがある。この脆弱性は、libtiffを使ったアプリケーションで細工を施したtiff画像を参照させることで悪用できる。こうした画像はアプリケーションをクラッシュさせ、ユーザーのコンピュータ上で不正コードの実行を許す可能性がある。

 エバンズ氏は、自分が公開した脆弱性は氷山の一角に過ぎない可能性が高いと話し、「残念ながら、libtiffの規模が大きいため限定的にしか脆弱性を探すことができない。これら脆弱性が、ほかの脆弱性の存在を指し示している公算は高い」とアドバイザリーに記している。

 NovellのSuse LinuxとRed Hatは先日libtiffの脆弱性に関するアドバイザリーを公表、同コンポーネントのパッチもリリースした。

 一方、Gaimの脆弱性は、特別な細工を施したメッセージをMSN SLPプロトコルを使って送信することで悪用できる。そうしたメッセージの処理に存在する境界エラーを突いてバッファオーバーフローが誘発され、アプリケーションのクラッシュや任意のコード実行につながるとSecuniaは解説している。

 MandrakeSoftによれば、この脆弱性はMandrake Linux 10.0にバンドルしているGaim 0.75に影響する。MandrakeSoft、Gentoo、Red Hat、Slackwareなどの各社がGaimの修正パッチを提供している。

Copyright(C) IDG Japan, Inc. All Rights Reserved.