「Libarchive」ライブラリに脆弱性、7-Zipなどプログラム多数に影響
「脆弱性の影響は多くのサードパーティープログラムに及び、攻撃者が一度に多数の異なるプログラムやシステムを攻撃することが可能」とされる。
» 2016年06月23日 07時38分 公開
[鈴木聖子,ITmedia]
米Cisco Systemsのセキュリティ部門Talosは6月21日、幅広いサードパーティープログラムに使われているオープンソースライブラリ「Libarchive」の脆弱性を発見し、メンテナンスチームによるパッチ開発に協力したと発表した。
Libarchiveは、Zipやtarなどさまざまなファイル圧縮フォーマットに対応したライブラリ。FreeBSD向けに開発され、各種LinuxのパッケージマネージャーやChrome OSの拡張機能などさまざまな場面で使われている。
Talosによれば、同ライブラリに3件の深刻な脆弱性が発見され、修正された。中でもLibarchiveで圧縮・解凍ソフトの「7-Zip」をサポートするモジュールの脆弱性は、細工を施した7-Zipファイルを送り付けてlibarchiveで処理させることによってメモリ破損が誘発され、攻撃コードを実行される恐れがあるという。
「こうしたライブラリの脆弱性の根本原因は、圧縮されたファイルから読み込むデータの不適切な検証に起因する」とTalosは解説。「Libarchiveのようなソフトウェアの脆弱性は、それを使っている多くのサードパーティープログラムに影響を及ぼし、攻撃者が一度に多数の異なるプログラムやシステムを攻撃することが可能になる」と警告している。
関連記事
画像処理ツール「ImageMagick」に脆弱性、広い範囲に影響の恐れ
PHP、Ruby、NodeJS、Pythonなど多数のプログラミング言語にも使われているImageMagicに脆弱性が見つかった。
OpenSSLの更新版公開、「DROWN」の脆弱性に対処
OpenSSL 1.0.2gと1.0.1sでは「DROWN」と呼ばれる新たな脆弱性が発覚したことを受け、SSLv2をデフォルトで無効にする措置を講じた。
「glibc」ライブラリに脆弱性、Linuxの大部分に深刻な影響
【Update】脆弱性が指摘された機能は大半のUNIXベースシステムでIPアドレスの解決に使われており、影響は広範に及ぶ。
脆弱性ある古いlibupnpライブラリが使用のスマート家電、610万台に影響
「Portable SDK for UPnP Devices」(libupnp)というライブラリの脆弱性は2012年に修正されたにもかかわらず、古いバージョンを使い続けているアプリが多数存在するという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
- AWSリソースを保護するための5つのベストプラクティス CrowdStrikeが指南
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
ITmediaはアイティメディア株式会社の登録商標です。