注目の脆弱性:Accusoft ImageGear で DoS と解放済みメモリ使用につながる 2 件の脆弱性を発見
Cisco Talos はこのほど、Accusoft ImageGear で新たに 2 件の脆弱性を発見しました。
ImageGear ライブラリは、画像処理アプリケーションを作成するためのツールキットです。画像の作成、編集、注釈追加、変換などの機能に対応しています。DICOM、PDF、Microsoft Office など、100 種類を超えるファイル形式をサポートしています。
TALOS-2022-1465
(CVE-2022-23400)は、攻撃者がスタックバッファをオーバーフローさせて、アプリケーション内でサービス拒否(DoS)状態を引き起こす可能性がある脆弱性です。非常に特殊なシナリオでは、このバッファオーバーフローが 1 バイトのメモリリークにつながる可能性もあります。
もう 1 件の TALOS-2022-1449(CVE-2022-22137)は、攻撃者がアプリケーションのメモリを破損し、解放済みメモリ使用(use-after-free)状態を引き起こす可能性がある脆弱性です。
Accusoft 社はシスコの脆弱性開示ポリシーに従ってこれらの問題にパッチを適用し、ImageGear のアップデートをリリースしました。ほかにも、Talos が 2 月に開示した複数の脆弱性が修正されています。これらの脆弱性に対するパッチは、以前は提供されていませんでした。
Talos は、Accusoft ImageGear バージョン 19.10 をテストし、このブログで開示した脆弱性の影響を受けることを確認しました。
今回の脆弱性のエクスプロイトは、SNORTⓇ ルール(58947、58948、59030、59031)で検出できます。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、Cisco Secure Firewall Management Center または Snort.org を参照してください。
本稿は 2022 年 05 月 02 日に Talos Group
Tags:
