脆弱性の発見者:Cisco Talos の Lilith >_>
Cisco Talos はこのほど、OpenImageIO(画像処理ライブラリ)に 19 件の脆弱性を発見しました。これらの脆弱性は、機密情報の漏洩、サービス拒否、ヒープ バッファ オーバーフローを引き起こす可能性があり、コードが実行される恐れもあります。
OpenImageIO は、画像の変換や処理、比較に役立つ画像処理ライブラリです。AliceVision の 3D 処理ソフトウェア(Meshroom など)で利用されているライブラリであり、Photoshop の .psd ファイルを読み込むために Blender でも使用されています。
.tif、.psd、.dds などのファイルとメタデータを OpenImageIO が処理する方法に脆弱性があることが発見されました。
今回の脆弱性のいくつかは CVSS スコアが 9.8 点と評価されており、優先度が高く、任意のコードが実行される危険性があります。
TALOS-2022-1655
脆弱性のいくつかは、サービス拒否を引き起こす可能性があります。攻撃者は、悪意のある入力かファイルを提供することによってこれらの脆弱性をエクスプロイトできます。
以下のとおり、スコアが低めの CVE アドバイザリも確認しています。このうち 5 件は機密情報漏洩の脆弱性に関するものです。
Cisco Talos はシスコの脆弱性開示方針
影響を受ける製品(Project OpenImageIO master-branch-9aeece7a、v2.3.19.0 および v2.4.4.2)をお使いであれば、できるだけ早く更新することをお勧めします。Talos では、このバージョンの OpenImageIO が今回の脆弱性によってエクスプロイトされる可能性があることをテストして確認済みです。
今回発見された脆弱性に対するエクスプロイトを検出する Snort ルールは、60735 ~ 60736、60766 ~ 60767、60733 ~ 60734、60713 ~ 60720、60730 ~ 60731、60796 ~ 60799 です。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、Firepower Management Center または Snort.org を参照してください。
本稿は 2022 年 12 月 22 日に Talos Group
のブログに投稿された「Vulnerability Spotlight: OpenImageIO file processing issues could lead to arbitrary code execution, sensitive information leak and denial of service 」の抄訳です。