Cisco Talos の脆弱性検出および調査チームは最近、Miniaudio の脆弱性 1 件と Adobe の脆弱性 3 件を公開しました。
このブログ記事で取り上げる脆弱性には、シスコのサードパーティ脆弱性開示ポリシー
に従って、ベンダー各社によってパッチが適用されています。
これらの脆弱性のエクスプロイトを検出できる Snort カバレッジについては、Snort.org から最新のルールセットをダウンロードしてください。Talos Intelligence の Web サイトにも、Talos による最新の脆弱性アドバイザリを常時掲載しています。
Miniaudio の境界外書き込みの脆弱性
脆弱性の発見者:Cisco Talos の Emmanuel Tacheau
TALOS-2024-2063(CVE-2024-41147)は、Miniaudio(C 言語で書かれた軽量で単一ファイルのオーディオ再生・キャプチャライブラリ)の境界外書き込みの脆弱性です。割り当てサイズのチェック漏れによってバッファオーバーフローが発生する可能性があり、その結果、境界外書き込みを引き起こします。この脆弱性は、細工された FLAC ファイルによってトリガーされ、再生モード時にメモリが破損する可能性があります。アプリケーションの動作としては、未加工のオーディオデータが Miniaudio に送信され、オペレーティングシステムが定義するデフォルトの再生デバイスで再生されます。
Adobe Acrobat の境界外書き込みの脆弱性
脆弱性の発見者:Cisco Talos の KPC
TALOS-2025-2134(CVE-2025-27163)および TALOS-2025-2136(CVE-2025-27164)は、フォント機能における境界外読み取りの脆弱性であり、機密情報の漏洩につながる可能性があります。TALOS-2025-2135(CVE-2025-27158)は、Adobe Acrobat のフォント機能における未初期化ポインタに起因するメモリ破損の脆弱性であり、任意コードの実行につながる可能性があります。これらの脆弱性は、細工されたフォントファイルが埋め込まれた PDF を開くことでトリガーされます。攻撃者は、ユーザーに悪意のあるファイルを開かせる必要があります。
本稿は 2025 年 3 月 13 日にTalos Group
Authors