BE-2023-0001: Seequent LeapFrog WebPのヒープベースのバッファオーバーフローの脆弱性
Bentley ID: BE-2023-0001
CVE ID: CVE-2023-4863
重大度: 8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
公開日: 27-{13}-{14}
改訂日:{15}-{16}-{17}
概要
LeapFrog アプリケーションは、悪意を持って細工された WebP ファイルを開く際に、ヒープベースのバッファオーバーフローの脆弱性の影響を受ける可能性があります。これらの脆弱性が悪用され、情報が開示されたり、任意のコードが実行されたりすることがあります。
細部
影響を受けるバージョンの LeapFrog アプリケーションを使用して、悪意を持って作成されたデータを含む WebP ファイルを開くと、libwebp Libraryでヒープベースのバッファオーバーフローが強制される可能性があります。WebP ファイルの解析でこの脆弱性が悪用されると、攻撃者は領域外メモリ書き込みを実行し、現在のプロセスのコンテキストでコードを実行する可能性があります。
影響を受けるバージョン
用途 | 影響を受けるバージョン | 軽減されているバージョン |
Seequent LeapFrog | 2023.1.{2}.*以前のバージョン | 2023.2 以上 |
推奨される軽減策
The Bentley Subsurface CompanyのSeequentは、LeapFrogアプリケーションを最新バージョンにアップデートすることを推奨しています。また、一般的なベストプラクティスとして、信頼できるソースから入手したSKPファイルのみを開くことが推奨されています。
謝辞
改訂履歴
日付 | 製品名 |
2023-10-27 | この勧告の初版 |