先月25日にお伝えした画像ソフト、アドビ社の「Photoshop」とコーレル社の「Paint Shop Pro」に、また新たな脆弱性が見つかった。
問題が見つかったのは、インターネット上でもしばしば用いられるPNG(Portable Network Graphics)画像の取り扱い。細工されたファイルを開くとスタックベースのバッファオーバーフローが起き、コードが実行されるおそれがある。27日に当該脆弱性を突いてシェルコードを実行する実証コードがインターネット上で公開され、セキュリティ関連機関が注意を促している。
脆弱性が確認されているのは、Adobe Photoshop CS3/CS2/Elements 5.0、Corel Paint Shop Pro Photo XIだが、他のバージョンにも影響するかも知れない。修正パッチは提供されておらず、当該アプリケーションのユーザーは信頼できる画像ファイル以外は開かないよう注意したい。
<脆弱性が報告されている画像ファイル>
Photoshop:Windowsビットマップ(.BMP .DIB .REL)、PNG(.PNG)
Paint Shop Pro:Windowsクリップボード形式(.CLP)、PNG(.PNG)
(2007/05/01 ネットセキュリティニュース)
【脆弱性情報(英文)】
■Corel Paint Shop Pro Photo
・Secunia
http://secunia.com/advisories/25034/
・FrSIRT
http://www.frsirt.com/english/advisories/2007/1576
■Adobe Photoshop
・Secunia
http://secunia.com/advisories/25044/
・FrSIRT
http://www.frsirt.com/english/advisories/2007/1577
【過去記事:ネットセキュリティニュース】
・3社の画像ソフトにコード実行の脆弱性:Photoshop、Paint Shop Pro、ACDSee(2007/04/25)