GdkPixBufに脆弱性、Linuxベンダーが対応

画像関連での脆弱性が相次いで発見されているが、Linux用の画像処理ライブラリ「GdkPixBuf」で複数の脆弱性が報告された。

[ITmedia]

　Linuxで使われる画像処理ライブラリ「GdkPixBuf」に複数の脆弱性が報告されたとして、Secuniaが9月16日、アドバイザリーを公開した。サービス妨害（DoS）攻撃を誘発してリモートからのアクセスを許す恐れがあることから、深刻度は「非常に重大」と評価している。

　Secuniaによれば、今回の脆弱性の一つは、最近Qtで見つかったBMP画像処理に関する脆弱性と同種のもので、これを突かれると悪質なBMP画像を使ってアプリケーションを無限ループに陥れることができてしまう。

　また、「pixbuf_create_from_xpm()」機能に存在するインプット認証エラーが原因で、特定のXPM画像のデコードに際して整数オーバーフローが誘発される恐れがあり、バッファオーバーフローを引き起こして任意のコードを実行される可能性がある。

　Secuniaによると、今のところこの問題に対応したGdkPixBufの正式なアップデートは出ていないが、DebianなどのLinuxベンダー各社は修正アップデートをリリースしているという。