概要
iccDEV は International Color Consortium が 開発 する ICC カラー マネジメント プロファイル ライブラリ です。カラー プロファイル の 読み込み、書き込み、変換 処理 を 提供 し、画像 編集 ソフトウェア や 印刷 ワークフロー など 多く の アプリケーション で 利用 されて います。
CVE-2026-30978 は この ライブラリ の CIccCmm::AddXform() 関数 に 存在 する Use-After-Free(解放 済み メモリ の 使用)脆弱性 です。CWE-416 に 分類 される この 問題 は、カラー 変換 パイプライン に 変換 オブジェクト を 追加 する 際 に 発生 します。
具体的 に は、AddXform() が 内部 で 使用 する オブジェクト の ライフサイクル 管理 に 不備 が あり、既に 解放 された ヒープ メモリ 領域 を 仮想 関数 テーブル(vptr)経由 で 参照 して しまいます。この 結果、不正 な vptr デリファレンス が 発生 し、アプリケーション の クラッシュ や 予期 しない 動作 を 引き起こす 可能性 が あります。
この 脆弱性 は ローカル 環境 で 細工 された ICC プロファイル ファイル を 処理 する 際 に 発動 します。攻撃者 が ユーザー に 悪意 ある プロファイル ファイル を 開かせる こと で、heap-use-after-free 状態 を トリガー でき ます。メモリ 破壊 が 発生 する ため、機密性、完全性、可用性 の 全て に 高い 影響 が あります。
iccDEV を 利用 して いる アプリケーション の 開発者 は、信頼 できない ソース から の ICC プロファイル ファイル の 処理 に 注意 が 必要 です。特に、画像 処理 パイプライン や カラー マネジメント システム で iccDEV を 組み込んで いる 場合、早急 な アップデート が 推奨 されます。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 7.8 (High) |
| 攻撃元区分 | ローカル |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | なし |
| ユーザ関与 | 要 |
| 影響の想定範囲 | 変更なし |
| 機密性 | 高 |
| 完全性 | 高 |
| 可用性 | 高 |
| CWE | CWE-416 (Use After Free) |
影響 を 受ける ソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| iccDEV | International Color Consortium | v2.3.1.5 未満 |
修正 バージョン と 回避策
- iccDEV v2.3.1.5 以降 に アップグレード して ください
- 回避策: 信頼 できない ソース から の ICC プロファイル ファイル を 処理 しない よう に する こと で、リスク を 軽減 でき ます
- iccDEV を 利用 する アプリケーション で は、入力 ファイル の バリデーション を 強化 する こと も 有効 です
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。