公開日:2010/08/09 最終更新日:2010/11/05

JVNVU#275247
FreeType 2 における CFF フォントの処理に脆弱性

概要

FreeType 2 には、CFF フォントの処理に脆弱性が存在します。

影響を受けるシステム

  • FreeType 2.4.2 より前のバージョン

詳細情報

FreeType は様々な形式のフォントファイルを扱うためのライブラリです。FreeType 2 には、CFF フォントの処理において、スタックが破損される脆弱性が存在します。

なお、本脆弱性を使用した攻撃活動が確認されています。

想定される影響

細工された CFF フォントを FreeType 2 を使用しているアプリケーションで読み込むことで、遠隔の第三者によって任意のコードを実行される可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに最新版へアップデートしてください。

参考情報

  1. US-CERT Vulnerability Note VU#275247
    FreeType 2 CFF font stack corruption vulnerability

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2010-1797
JVN iPedia JVNDB-2010-001892

更新履歴

2010/11/05
関連文書に JVN iPedia へのリンクを追加しました。