プラットフォーム
c
コンポーネント
stb
修正版
1.0.1
1.1.1
1.2.1
1.3.1
1.4.1
1.5.1
1.6.1
1.7.1
1.8.1
1.9.1
1.10.1
1.11.1
1.12.1
1.13.1
Nothings stbの1.22までのバージョンにセキュリティ上の欠陥が見つかりました。これはstbvorbis.cファイルのstartdecoder関数に影響します。この操作により、境界外書き込みが発生します。攻撃はリモートから実行される可能性があります。エクスプロイトは公開されており、攻撃に使用される可能性があります。ベンダーには早期にこの開示について連絡しましたが、応答はありませんでした。
stbライブラリにおいて、stbvorbis.cファイルのstartdecoder関数において、バージョン1.22まで脆弱性が発見されました。この脆弱性は、境界外書き込み(out-of-bounds write)を可能にし、これにより任意のコードの実行やサービス拒否につながる可能性があります。この脆弱性の深刻度はCVSS 6.3と評価されています。特に懸念されるのは、この脆弱性のエクスプロイトがすでに公開されており、攻撃のリスクが大幅に高まっていることです。この脆弱性はリモートから悪用できるため、stbを使用する幅広いシステムやアプリケーションに影響が及ぶ可能性があります。この脆弱性に関する初期の開示に対するベンダーの対応の欠如は特に懸念されるため、タイムリーな軽減策が困難になっています。
この脆弱性は、stbライブラリのstbvorbis.cモジュールのstartdecoder関数に存在します。攻撃者は、特別に細工された入力データを送信することで、この脆弱性を悪用し、境界外書き込みをトリガーできます。この脆弱性のリモート悪用性により、攻撃者は脆弱なシステムへの物理的なアクセスを必要とせず、単にstbを使用するアプリケーションに悪意のある入力データを送信できるだけです。エクスプロイトの公開により、悪用がさらに簡素化され、攻撃者にすぐに使用できるツールが提供されます。ベンダーの対応の欠如は状況を複雑にし、脆弱性または潜在的な解決策に関する公式の情報源がありません。
Applications that utilize Nothings stb for decoding Vorbis audio files are at risk. This includes multimedia players, audio processing tools, and any software that integrates stb for audio playback. Shared hosting environments where multiple applications share the same stb library are particularly vulnerable, as a compromise in one application could affect others.
• c/binary analysis: Examine binaries using stb for potential memory corruption patterns around the start_decoder function. Use tools like Valgrind or AddressSanitizer to detect out-of-bounds writes during runtime.
• file integrity monitoring: Monitor for unexpected modifications to stb_vorbis.c or related libraries.
• network traffic analysis: Look for unusual network requests containing potentially malicious media files.
• code review: Review applications using Nothings stb for proper input validation and error handling related to media file parsing.
Public Disclosure
Exploit Released
エクスプロイト状況
EPSS
0.04% (14% パーセンタイル)
CISA SSVC
ベンダーからの修正(fix)がないため、直近の軽減策は、stbのバージョン1.22以前の使用を避けることです。stbの使用が不可欠な場合は、start_decoder関数への入力データの厳格な検証などの追加のセキュリティ対策を実装することをお勧めします。これには、入力データサイズの制限とデータ整合性の検証が含まれます。さらに、影響を受けるシステムを悪用の兆候がないか注意深く監視します。修正されたstbバージョンへのアップグレードが最終的な解決策ですが、それが入手可能になるまで、これらの対策はリスクを軽減するのに役立ちます。ユーザーと開発者はこの脆弱性を認識し、システムを保護するために必要な措置を講じるよう強く推奨されます。
Actualizar la biblioteca stb a una versión posterior a la 1.9, donde se haya corregido la vulnerabilidad de escritura fuera de límites en la función start_decoder del archivo stb_vorbis.c. Si no hay una versión corregida disponible, considerar el uso de una biblioteca alternativa para el manejo de archivos Vorbis.
脆弱性分析と重要アラートをメールでお届けします。
stbは、画像やオーディオなどのメディアファイルをデコードするためのオープンソースライブラリのコレクションです。
コードが書き込むべきではないメモリ領域にデータを書き込もうとすることです。これにより、データが破損したり、悪意のあるコードの実行が可能になったりする可能性があります。
stbバージョン1.22またはそれ以前を使用している場合は、影響を受けている可能性が高いです。プロジェクトを調べて、stbのインスタンスをすべて特定してください。
start_decoder関数に対する厳格な入力検証を実装し、システムを疑わしいアクティビティがないか監視してください。
ニーズに応じて、他のオーディオデコードライブラリが利用可能です。ただし、互換性は異なる場合があります。
1.14.1
1.15.1
1.16.1
1.17.1
1.18.1
1.19.1
1.20.1
1.21.1
1.22.1
CVSS ベクトル