注目の脆弱性:ADMesh ライブラリで発見されたバッファオーバーフローの脆弱性
脆弱性の発見者:Cisco Talos の Francesco Benvenuto
Cisco Talos はこのほど、ADMesh ライブラリの機能に、配列インデックスの不適切な検証に起因する脆弱性が存在することを発見しました。
ADMesh は、3D の三角形メッシュの処理に使用される C ライブラリです。
Talos が発見したのは配列インデックスの不適切な検証に起因する脆弱性であり、TALOS-2022-1594
(CVE-2022-38072)として報告しています。細工された STL を開いてしまうと、ヒープ領域でバッファオーバーフローが発生する可能性があります。攻撃者は、悪意のあるファイルを提供することによってこの脆弱性をエクスプロイトできます。
Cisco Talos はシスコの脆弱性開示方針に準拠して ADMesh と協力し、今回の脆弱性が解決されたこと、および影響を受けた利用者向けにアップデートが提供されていることを確認しています。
影響を受ける製品(ADMesh Master Commit 767a105、Slic3r libslic3r Master Commit b1a5500 および ADMesh v0.98.4)をお使いであれば、できるだけ早く更新することをお勧めします。Talos では、これらのバージョンが今回の脆弱性によってエクスプロイトされる可能性があることをテストして確認済みです。
脆弱性のエクスプロイトは Snort ルール(60544 および 60545)で検出できます。今後、ルールが追加されたり、脆弱性に関して追加される情報によっては現行のルールが変更されたりする場合があります。最新のルールの詳細については、Firepower Management Center または Snort.org を参照してください。
本稿は 2023 年 04 月 03 日に Talos Group
Tags:
