Unicodeライブラリにセキュリティ脆弱性

JPCERTコーディネーションセンターおよび独立行政法人情報処理推進機構(IPA)は10月30日、セキュリティ脆弱性に関する情報「JVN#70739377 - 複数製品で使用されている International Components for Unicode (ICU) にサービス運用妨害 (DoS) の脆弱性」を公開した。Unicodeライブラリにセキュリティ脆弱性が存在し、この脆弱性を利用されるとDoS攻撃を受ける可能性があるという。

セキュリティ脆弱性が発見されたライブラリはInternational Components for Unicode (ICU)。ICUはUnicode文字列を操作するためのライブラリで、C言語向けのライブラリとJava向けのライブラリが提供されている。セキュリティ脆弱性が修正されたバージョンは2012年12月にすでにリリースされている。

ICUはさまざまなソフトウェアで採用されており、ソフトウェアやプロダクトごとに個別にアップデートを実施する必要がある。セキュリティ脆弱性が修正されたバージョンはICU4C 50.1.1とされており、これ以降のバージョンを使用しているかどうかチェックが推奨される。