Cisco Japan Blog

注目の脆弱性:Accusoft ImageGear で DoS と解放済みメモリ使用につながる 2 件の脆弱性を発見

1 min read



Cisco Talos はこのほど、Accusoft ImageGear で新たに 2 件の脆弱性を発見しました。

ImageGear ライブラリは、画像処理アプリケーションを作成するためのツールキットです。画像の作成、編集、注釈追加、変換などの機能に対応しています。DICOM、PDF、Microsoft Office など、100 種類を超えるファイル形式をサポートしています。

TALOS-2022-1465popup_icon(CVE-2022-23400)は、攻撃者がスタックバッファをオーバーフローさせて、アプリケーション内でサービス拒否(DoS)状態を引き起こす可能性がある脆弱性です。非常に特殊なシナリオでは、このバッファオーバーフローが 1 バイトのメモリリークにつながる可能性もあります。

もう 1 件の TALOS-2022-1449popup_icon(CVE-2022-22137)は、攻撃者がアプリケーションのメモリを破損し、解放済みメモリ使用(use-after-free)状態を引き起こす可能性がある脆弱性です。

Accusoft 社はシスコの脆弱性開示ポリシーに従ってpopup_iconこれらの問題にパッチを適用し、ImageGear のアップデートをリリースしました。ほかにも、Talos が 2 月に開示した複数の脆弱性が修正されています。これらの脆弱性に対するパッチは、以前は提供されていませんでした。

Talos は、Accusoft ImageGear バージョン 19.10 をテストし、このブログで開示した脆弱性の影響を受けることを確認しました。

今回の脆弱性のエクスプロイトは、SNORTⓇ ルール(58947、58948、59030、59031)で検出できます。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、Cisco Secure Firewall Management Center または Snort.org を参照してください。

 

本稿は 2022 年 05 月 02 日に Talos Grouppopup_icon のブログに投稿された「Vulnerability Spotlight: Two vulnerabilities in Accusoft ImageGear could lead to DoS, arbitrary freepopup_icon」の抄訳です。

 

コメントを書く