Created: 2002-03-12@706
Updated: 2002-03-12@706
zlib 1.1.3以前の展開アルゴリズムにバグが在るため、特定の圧縮データを用いるとバッファオーバフロー攻撃が出来てしまう可能性がある。したがって、zlibを共有ライブラリとして用いるプログラム、また派生的にリンクしているプログラムでzlibの展開アルゴリズムを使用しているものはこのバグの影響を受ける。
Mac OS X 10.1.3以前(ただし、実際に攻撃が検証された報告はない)
zlib.orgよりzlib1.1.4を入手し、独自にインストールする。ただし、zlibを静的にコンパイルしているプログラムは再コンパイルが必要
zlibは圧縮・展開のためのライブラリで、主にUNIX系のOSで広く用いられている。共有ライブラリとして使用しているプログラムは、zlib 1.1.4にバージョンアップすることでこの問題を回避できる。
Mac OS X 10.1.3が採用しているzlibのバージョンは1.1.3だが、 CERT/CCがまとめているAppleからの見解では“Not Vulnerable”(惰弱性は無い)であるとしている。
Appleからの報告は上記の通りとなっているが、問題の根本を解決しているzlib 1.1.4のソフトウェアアップデートによる提供が期待される。
© ぴぐもん, 2002