学ぶ (英語版)
ドキュメント (英語版)
サポート (英語のみ)
コミュニティ (英語版)

Nexthinkはlibwebpおよびlibvpxの脆弱性の影響を受けていますか?

質問

Nexthinkはlibwebpおよびlibvpxの脆弱性によって影響を受けていますか?

回答

いいえ、Nexthinkは影響を受けていません。 ソースコード、Software Composition Analysisレポート、およびSoftware Bill of Materials (SBOMs)を精査した結果、libwebpおよびlibvpxライブラリがNexthink ExperienceとInfinity cloud platform、またはクライアントサイドのコンポーネント(Collectorなど)に使用されていないことを確認しました。 プラットフォームはユーザーが特定の形式の画像をアップロードすることを可能にしますが、WebP形式は許可されていません。

背景

Libwebpおよびlibvpxにはヒープオーバーフローの脆弱性が発見され、CVSSスコア8.8(高危険度)で報告されました。 現在、それらは野外で活発に悪用されています。 Libwebpで悪意のあるWebP画像を解析したり、libvpxで悪意のあるVP8ビデオストリームを解析すると、アプリケーションがクラッシュする可能性があります。 Libwebpの場合、これによりリモートコード実行が発生することもあります。

関連するCVE:

  • CVE-2023-41064: Appleは9月7日にImageIOに関する独自の脆弱性を公開しました。 これはBLASTPASS攻撃で使用されました。

  • CVE-2023-4863: libwebpの初期の脆弱性は、Chromeがパッチを当てた翌日の9月12日に公開されました。

  • CVE-2023-5129: この重複は、影響がChromeだけでなかったことを強調するために9月25日に作成されました。

  • CVE-2023-5217: libvpxでよく似た脆弱性が9月28日に公開されました。

Nexthinkはどのようにしてこのような脆弱性から製品を保護していますか?

ソフトウェア構成分析ツールを使用して、コード依存関係のパッチが提供されるとすぐに開発者に警告します。 コード変更がリリース可能であることを確認するために設けられた品質チェックの一環として、利用可能なパッチが適用されたことも確認します。

Nexthinkの企業ネットワークとサプライチェーンをスキャンして、OSライブラリやブラウザ、その他のアプリケーションの不足しているパッチを調べます。

Nexthinkはcloud platformのために様々なセキュリティおよびプライバシー認証を取得しています。

Last updated

© Nexthink

プライバシーポリシー (英語版)責任ある情報開示ポリシー (英語版)