VU#936962: FastStone Image Vie... ノート

VU#936962: FastStone Image Viewer 8.3.0.0 における複数のファイル解析脆弱性

FastStone Image Viewer 8.3 で 2 つの脆弱性が特定されました。これらの欠陥により、リモート コード実行または制御フローの破損が可能になる可能性があります。これらの問題は、JPEG 2000 (JP2) パーサーと PSD ファイルパーサーに影響します。攻撃者は、アプリケーションに悪意のある画像ファイルを処理させることで、これらの脆弱性を悪用できます。JP2 パーサーにおけるヒープベースのバッファオーバーフロー (CVE-2026-30040) は、不正な形式の QCD マーカーによってトリガーされる可能性があります。これにより、ファイルがサムネイル列挙範囲内にある場合、ユーザーがファイルを直接開かなくても、任意のコード実行が可能になります。PSD パーサーにおける整数オーバーフロー (CVE-2026-30041) は、不適切な高さ検証の結果として発生します。これにより、ヒープベースのバッファオーバーフローが発生し、コード実行またはサービス拒否が可能になります。悪用により、攻撃者はユーザーのコンテキストで任意のコードを実行できるようになる可能性があります。脆弱性の深刻度は、ユーザーの権限によって増加します。パッチはまだ利用できず、ベンダーには連絡が取れていません。ユーザーは、制限されたアカウントでソフトウェアを実行し、信頼できないソースからの JP2 または PSD ファイルのダウンロードをブロックすることを推奨します。