音楽再生ソフト「mpg123」に深刻な脆弱性

[ITmedia]

　デンマークのセキュリティ企業Secuniaは1月11日、MP3デコーダーの「mpg123」に脆弱性が見つかったとして、利用者に注意を呼び掛けた。悪用されると外部からシステムに侵入される恐れがあるという。

　Secuniaのアドバイザリーによると、この脆弱性はユーリ・デリア氏が発見したもので、レイヤー2ストリーム用フレームヘッダの解析のエラーが原因。悪用された場合、特殊設計のMP2／MP3ファイルを使ってヒープ領域におけるバッファオーバーフローを引き起こされ、mpg123を実行するユーザーの権限を使って任意のコードを実行される恐れがある。

　この脆弱性はmpg123のバージョン0.59rで報告されたが、ほかのバージョンも影響を受ける可能性があるという。パッチは発行されていない。Secuniaでは、この脆弱性を「Highly Critical」（深刻度の高さで5段階の上から2番目）に指定している。