「DXライブラリ」にバッファオーバーフローの脆弱性（JVN）

独立行政法人情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は1月5日、山田巧氏が提供するWindowsソフトウェア開発用のオープンソースのライブラリ「DXライブラリ」にバッファオーバーフローの脆弱性が存在すると「Japan Vulnerability Notes（JVN）」で発表した。CVSS v3によるBase Scoreは8.1。

「DXライブラリ VisualC++用 Ver3.15e およびそれ以前」「DXライブラリ BorlandC++用 Ver3.15e およびそれ以前」「DXライブラリ Gnu C++用 Ver3.15e およびそれ以前」「DXライブラリ VisualC#用 Ver3.15e およびそれ以前」には、内部関数 CL_vsprintf() の処理に起因するバッファオーバーフローの脆弱性（CVE-2016-1131）が存在する。この脆弱性が悪用されると、DXライブラリを使用して作成されたアプリケーションが、細工された文字列を処理することで、アプリケーションの権限で任意のコードを実行される可能性がある。JVNでは、DXライブラリを使用したアプリケーションの開発者は、対策済みのDXライブラリを使用してリビルドし、アプリケーションをアップデートするよう呼びかけている。

オープンソースの「DXライブラリ」にバッファオーバーフローの脆弱性（JVN）

《吉澤亨史@ScanNetSecurity》