概要
Easy Video to iPod Converter 1.6.20 の ユーザー 登録 フィールド に ローカル バッファ オーバーフロー 脆弱性 が 存在 します。username フィールド に 996 バイト を 超える ペイロード を 入力 する こと で SEH(Structured Exception Handler)を オーバーライト し、任意 コード 実行 が 可能 です。攻撃者 は 登録 ダイアログ の ユーザー名 入力欄 に 996 バイト の パディング に 続けて SEH ハンドラ の アドレス を POP-POP-RET ガジェット で 上書き し、例外 発生 時 に シェルコード へ 制御 を 移す 手法 で 悪用 します。
影響 の 範囲
この 脆弱性 は ローカル 攻撃 に 限定 される ため、リモート から の 直接的 な 悪用 は できません。攻撃者 は 対象 マシン に 物理的 アクセス または ローカル ユーザー 権限 を 持つ 必要 が あります。CVSS スコア は 8.4(High)と 高い ものの、攻撃 元区分 が ローカル で ある ため、実際 の リスク は ネットワーク 経由 の 脆弱性 と 比較 して 限定的 です。Easy Video to iPod Converter は 既 に 開発 が 停止 して いる レガシー ソフトウェア で あり、修正 バージョン の 提供 は 見込め ません。主 な 懸念 は、共有 端末 や マルチユーザー 環境 など 信頼 できない ユーザー が ローカル アクセス を 持つ 環境 に おいて、権限 昇格 や 任意 コード 実行 の 踏み台 と される 可能性 が ある 点 です。該当 ソフトウェア を 使用 して いる 場合 は、代替 ソフトウェア へ の 移行 を 強く 推奨 します。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 8.4(High) |
| 攻撃 元区分 | ローカル |
| CWE | CWE-787(範囲外 書き込み) |
影響 を 受ける ソフトウェア
| 製品 | ベンダー | 影響 バージョン |
|---|---|---|
| Easy Video to iPod Converter | divxtodvd.net | 1.6.20 |
修正 バージョン と 回避策
- 修正: 修正 バージョン は 確認 されて いません
- 回避策: 別 の ソフトウェア へ の 移行 を 検討 する
関連 リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。