ニュース

オープンソースのJPEG 2000コーデック「OpenJPEG」に脆弱性、Cisco Talosが報告

 米CiscoのセキュリティチームであるCisco Talosは9月30日、オープンソースのJPEG 2000コーデックである「OpenJPEG」のライブラリに脆弱性を発見していたことを公表した。

 脆弱性「CVE-2016-8332」は、OpenJPEGライブラリのバージョン2.1.1におけるJPEG2000ファイルパーサーにおけるもので、JPEG2000画像のMCC(Multiple Component Collection)レコードを解析する際に、ヒープ領域を越えたメモリへのデータ書き込み(Out-Of-Bounds Write)が可能になるもの。

 この脆弱性を悪用すると、細工されたJPEG 2000の画像ファイルを開かせることで、リモートから任意のコードが実行される可能性がある。共通脆弱性評価システム(CVSS)のスコアは7.5。

 Cisco Talosによれば、画像ファイルをメールに添付したり、「Google Drive」や「Dropbox」といった一般的なクラウドストレージサービスからダウンロードさせるといった手法で脆弱性を悪用できるとしている。

 OpenJpegライブラリはJPEG2000規格のリファレンス実装で、「poppler」「MuPDF」「Pdfium」といったPDFレンダラ―でも利用されている。