MEDIUMCVE-2026-6067

CVE-2026-6067

Q: Netwide Assembler (NASM) の CVE-2026-6067 による影響を受けていますか？

ユーザーが悪意のある `.asm` ファイルをアセンブルすると、プログラムがクラッシュしたり、より深刻なことに、任意のコードが実行されたりする可能性があります。

Q: CVE-2026-6067 は積極的に悪用されていますか？

信頼できないソースからの `.asm` ファイルのアセンブルを避け、システムを注意深く監視してください。

プラットフォーム

コンポーネント

nasm

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-6067 は、Netwide Assembler (NASM) の obj_directive() 関数における境界チェックの欠如に起因するヒープバッファオーバーフローの脆弱性です。この脆弱性を悪用されると、攻撃者は悪意のある .asm ファイルをアセンブルすることで、ヒープメモリの破損、サービス拒否 (クラッシュ)、および任意のコード実行につながる可能性があります。影響を受けるバージョンは NASM 3.02rc5 および nasm-3.02rc5 です。

影響と攻撃シナリオ

CVE-2026-6067 は、Netwide Assembler (NASM) におけるスタックバッファオーバーフローの脆弱性を暴露しています。この欠陥は、obj_directive() 関数内で、境界チェックの欠如により発生します。攻撃者は、悪意のある .asm ファイルを作成することで、この脆弱性を悪用できます。このファイルをアセンブルすると、スタックメモリの破損が発生し、サービス拒否 (クラッシュ) または、より深刻なことに、任意のコードの実行につながる可能性があります。この脆弱性の重大度は、システムの一元性と可用性を損なう可能性に由来します。既知の修正プログラムがないことは、状況を悪化させ、慎重なリスク評価と代替の軽減策の実施を必要とします。

悪用の状況

CVE-2026-6067 の悪用には、攻撃者が NASM を使用してアセンブルされる .asm ファイルの内容を制御できる必要があります。これは、NASM が自動ビルドプロセスの一部として使用される場合、またはユーザーが .asm ファイルを独立してアップロードおよびアセンブルできる場合に発生する可能性があります。攻撃者は、obj_directive() 関数内でバッファオーバーフローを引き起こすように .asm ファイルを作成する必要があります。悪用の複雑さは、システムアーキテクチャと実装されているセキュリティ保護 (Data Execution Prevention (DEP) や Address Space Layout Randomization (ASLR) など) に依存します。ただし、既知の修正プログラムがないことは、悪用の機会のウィンドウが大幅になる可能性があることを意味します。

リスク対象者翻訳中…

Developers and system administrators who use NASM to assemble code, particularly in automated build pipelines or environments where untrusted .asm files are processed, are at risk. Systems relying on NASM for critical infrastructure or sensitive applications face the highest potential impact.

検出手順翻訳中…

• linux / server:

ps aux | grep nasm

• generic web:

curl -I http://yourserver/nasm | grep 'Server:'

攻撃タイムライン

2026-04-10Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

レポート1 脅威レポート

EPSS

0.06% (20% パーセンタイル)

影響を受けるソフトウェア

コンポーネントnasm

ベンダーNASM

影響範囲修正版

nasm-3.02rc5 – nasm-3.02rc5—

弱点分類 (CWE)

CWE-787

タイムライン

予約済み2026-04-10
公開日2026-04-10
EPSS 更新日2026-04-18

未パッチ — 公開から44日経過

緩和策と回避策

CVE-2026-6067 の公式な修正プログラムは存在しないため、軽減策は攻撃対象領域を減らし、潜在的な影響を制限することに重点が置かれています。信頼できないソースからの .asm ファイルのアセンブルを避けることを強くお勧めします。NASM ソースコードの静的分析を実行することで、脆弱性を内部的に識別および修正するのに役立ちます。さらに、NASM を使用しているシステムを注意深く監視し、搾取を示唆する異常な動作がないか確認してください。実現可能な場合は、代替のアセンブラの使用を検討することが、長期的な軽減策戦略となり得ます。NASM の最新バージョンにアップデートしても、脆弱性を直接修正するものではありませんが、システムの全体的なセキュリティ体制を改善する他のセキュリティパッチが含まれている可能性があります。

修正方法翻訳中…

Actualice a una versión corregida de NASM. La vulnerabilidad se encuentra en la versión 3.02rc5 y se espera que las versiones posteriores contengan la corrección. Consulte el repositorio de GitHub para obtener más información y actualizaciones.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-6067 とは何ですか？（Netwide Assembler (NASM) の Buffer Overflow）

NASM (Netwide Assembler) は、アセンブリ言語から機械コードを作成するために使用される一般的なアセンブラです。

Netwide Assembler (NASM) の CVE-2026-6067 による影響を受けていますか？

ユーザーが悪意のある .asm ファイルをアセンブルすると、プログラムがクラッシュしたり、より深刻なことに、任意のコードが実行されたりする可能性があります。

Netwide Assembler (NASM) の CVE-2026-6067 を修正するにはどうすればよいですか？

現在、公式な修正プログラムは利用できません。

CVE-2026-6067 は積極的に悪用されていますか？

信頼できないソースからの .asm ファイルのアセンブルを避け、システムを注意深く監視してください。

CVE-2026-6067 に関する Netwide Assembler (NASM) の公式アドバイザリはどこで確認できますか？

CVE-2026-6067 に関する詳細情報は、NVD (National Vulnerability Database) などの脆弱性データベースで確認できます。