Threatpost - The First Stop For Security News

Kaspersky Labのニュースサービス「threatpost」は1月19日(現地時間)、記事「Potential Code Execution Flaw Haunts PolarSSL Library \| Threatpost \| The first stop for security news」において、PolarSSLに任意のコードが実行される脆弱性があることを伝えた。PolarSSLはOpenVPNやLinksysのプロダクトなど、さまざまなソフトウェアで利用されている。すでに修正版が公開されているので、該当するプロダクトを使用している場合はアップデートの実施が推奨される。

脆弱性が存在するバージョンは次のとおり。

  • PolarSSL 1.0~1.3.9
  • PolarSSL 1.0~1.2.12

修正パッチは「PolarSSL Security Advisory 2014-04」において提供されている。重要度は「High」とされており、迅速な対応が求められる。

今回発見された脆弱性はポインタを初期化漏れを原因としており、細工されたX.509証明書を使用されると、証明書のパースの段階で任意のコードが実行される危険性があるという。オペレーティングシステム系のプロジェクトではすでにアップデートの提供などを開始しているので、各プロジェクトの報告に従ってアップデートを実施されたい。