公開日:2013/10/30 最終更新日:2015/10/22

JVN#85336306
複数製品で使用されている International Components for Unicode (ICU) に解放済みメモリ使用 (use-after-free) の脆弱性

概要

複数製品で使用されている International Components for Unicode (ICU) には、解放済みメモリ使用 (use-after-free) の脆弱性が存在します。

影響を受けるシステム

International Components for Unicode (ICU) を使用している製品が影響を受ける可能性があります。

詳しくは、「ベンダ情報」をご確認ください。

詳細情報

International Components for Unicode (ICU) は、 Unicode 文字列を扱うためのライブラリで、C 言語向けの ICU4C と Java 言語向けの ICU4J が提供されています。ICU4C には、解放済みメモリ使用 (use-after-free) の脆弱性が存在します。

ICU から本脆弱性を修正した ICU4C 52.1 が 2013年10月9日にリリースされています。

想定される影響

想定される影響は製品によって異なりますが、遠隔の第三者によって、サービス運用妨害 (DoS) 攻撃を受けるなどの可能性があります。

対策方法

アップデートする
各開発者が提供する情報をもとに最新版へアップデートしてください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
PukiWiki Plus! 該当製品無し 2014/05/06
Soft3304 該当製品無し 2015/07/03
サイボウズ株式会社 該当製品あり 2013/10/30 サイボウズ株式会社 の告知ページ
日本電気株式会社 該当製品あり 2015/10/21
株式会社エムソフト 該当製品無し 2014/08/21
株式会社ロックオン 該当製品無し 2013/11/01
ベンダ リンク
ICU - International Components for Unicode ICU Home Page
Changeset 34076
Google Stable Channel Update (Chrome 30.0.1599.66)

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2013-2924
JVN iPedia JVNDB-2013-004446

更新履歴

2013/10/30
ベンダ情報を修正しました。
2013/11/01
株式会社ロックオンのベンダステータスが更新されました
2014/03/31
株式会社インターコムのベンダステータスが更新されました
2014/04/01
株式会社インターコムのベンダステータスが更新されました
2014/05/06
PukiWiki Plus!のベンダステータスが更新されました
2014/08/21
株式会社エムソフトのベンダステータスが更新されました
2015/07/03
Soft3304のベンダステータスが更新されました
2015/10/22
日本電気株式会社のベンダステータスが更新されました