Nothings stb stb_vorbis.c の setup_free におけるリソースの割り当て

Nothings stbのバージョン1.22までの脆弱性が特定されました。影響を受ける要素は、ファイルstbvorbis.c内のsetupfree関数です。この操作により、リソースの割り当てが過剰になり、サービス拒否（DoS）状態を引き起こしたり、より複雑なシナリオでは、任意のコードの実行につながる可能性があります。この脆弱性のリモートでの悪用は、攻撃者がローカルシステムへのアクセスなしでこの脆弱性を悪用できることを意味します。機能的なエクスプロイトの公開により、悪意のある行為者によるその使用が容易になり、リスクが大幅に高まります。この脆弱性に関する初期の開示通知に対するベンダーの応答がないことは懸念されるものであり、公式の修正が提供されていないことを示しています。

Applications and systems that utilize Nothings stb library versions 1.0 through 1.22 are at risk. This includes multimedia players, embedded systems, and any software that processes audio files using this library. Developers who have integrated Nothings stb into their projects should prioritize upgrading or implementing mitigation strategies.

• c/generic: Monitor memory usage for sudden spikes, especially during media processing. Use tools like top or htop to observe resource consumption. • c/generic: Examine application logs for errors related to memory allocation or resource exhaustion. • c/generic: Static analysis of the stbvorbis.c file for the vulnerable setupfree function. Look for calls to allocation functions with potentially unbounded arguments.

1. 2026-04-02Disclosure

   disclosure

1. 予約済み2026-04-01
2. 公開日2026-04-02
3. EPSS 更新日2026-04-09

ベンダーからの応答がないため、この脆弱性の軽減には積極的なアプローチが必要です。可能な限り早く、stbライブラリの新しいバージョンにアップグレードすることを強くお勧めします。その間、Vorbisデコード関数の割り当てられたリソースを制限したり、メモリ使用量を監視したり、stbを使用するサービスへのリモートアクセスを制限するファイアウォールルールを適用するなど、軽減策を実装できます。さらに、setup_free関数の脆弱な使用を特定して修正するために、コード分析を実行する必要があります。システムリソースへのアクセスに最小権限の原則を適用することも、潜在的なエクスプロイトの影響を軽減するのに役立ちます。