ゲーム開発のためのライブラリ「ＤＸライブラリ」に任意コードの実行の脆弱性

JVNの脆弱性レポートページ

　脆弱性対策情報ポータルサイト“JVN”は8日、DirectXを利用したゲーム開発を支援するオープンソースライブラリ「ＤＸライブラリ」に脆弱性が存在することを明らかにした。

　“JVN”の脆弱性レポートによると、「ＤＸライブラリ」のv3.13fからv3.16bまでのバージョンには内部関数“printfDx()”の処理に起因するバッファオーバーフローの脆弱性が存在するという。最悪の場合、「ＤＸライブラリ」で開発されたゲームをプレイする際に任意のコードが実行されてしまう恐れがある。JPCERT/CCによる本脆弱性の評価は“CVSS v3”で基本値“8.1（重要）”、“CVSS v2”で基本値“5.1（警告）”となっている。

　なお、本脆弱性は5日にリリースされたv3.16dですでに修正されている。仮に該当するバージョンを利用していたとしても、「Visual Studio 2012」以降を利用しており、かつプロジェクトのセキュリティ設定を無効にしていない場合や、“printfDx()”の引数にユーザーが入力した文字列を使用していない場合は脆弱性の影響を受けないが、ゲームに最新版がある場合は念のためアップデートすることをお勧めする。