概要
iccDEV は International Color Consortium が 開発 する ICC カラー マネジメント プロファイル ライブラリ です。ICC プロファイル の 解析 と カラー スペース 変換 の ため の 各種 演算 機能 を 提供 して おり、デジタル イメージング や 印刷 業界 で 広く 活用 されて います。
CVE-2026-30979 は この ライブラリ の CIccCalculatorFunc::InitSelectOp() 関数 に 存在 する ヒープ バッファ オーバーフロー 脆弱性 です。CWE-122 に 分類 される この 問題 は、Calculator Element 内 の Select 演算子 を 初期化 する 処理 で 発生 します。
InitSelectOp() 関数 が ヒープ 上 に 確保 した バッファ の 境界 を 超えて データ を 書き込んで しまう ため、隣接 する メモリ 領域 が 破壊 される 可能性 が あります。ローカル ユーザー が 細工 された ICC プロファイル ファイル を 開く 操作 を 行う こと で この 脆弱性 が 発動 し、メモリ 破壊 や アプリケーション の クラッシュ が 発生 します。
ヒープ バッファ オーバーフロー は メモリ 安全性 に 関わる 深刻 な 問題 です。攻撃者 が 意図的 に 破壊 する メモリ の 内容 を 制御 できる 場合、プログラム の 制御 フロー を 操作 する 可能性 も 理論的 に は 存在 します。CVSS スコア 7.8 の High 深刻度 と 評価 されて おり、機密性、完全性、可用性 の 全て に 高い 影響 が あります。
iccDEV の Calculator Element 機能 を 利用 して いる アプリケーション で は、特に 外部 から 受け取る ICC プロファイル の 処理 に おいて、早急 な バージョン アップデート が 推奨 されます。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 7.8 (High) |
| 攻撃元区分 | ローカル |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | なし |
| ユーザ関与 | 要 |
| 影響の想定範囲 | 変更なし |
| 機密性 | 高 |
| 完全性 | 高 |
| 可用性 | 高 |
| CWE | CWE-122 (Heap-based Buffer Overflow) |
影響 を 受ける ソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| iccDEV | International Color Consortium | v2.3.1.5 未満 |
修正 バージョン と 回避策
- iccDEV v2.3.1.5 以降 に アップグレード して ください
- 回避策: 信頼 できない ソース から の ICC プロファイル ファイル を 処理 しない よう に する こと で、リスク を 軽減 でき ます
- Calculator Element を 含む プロファイル の 入力 検証 を 強化 する こと も 有効 な 対策 です
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。