DirectXを利用したゲーム開発のためのライブラリ「ＤＸライブラリ」に脆弱性

　脆弱性対策情報ポータルサイト“JVN”は5日、DirectXを利用したゲーム開発を支援するオープンソースライブラリ「ＤＸライブラリ」に脆弱性が存在することを明らかにした。

　“JVN”の脆弱性レポートによると、「ＤＸライブラリ」v3.15eおよびそれより前のバージョンには内部関数“CL_vsprintf()”の処理に起因するバッファオーバーフローの脆弱性が存在するという。最悪の場合、「ＤＸライブラリ」で開発されたゲームをプレイする際に任意のコードが実行されてしまう恐れがある。JPCERT/CCによる本脆弱性の評価は“CVSS v3”で基本値“8.1（危険）”、“CVSS v2”で基本値“6.8（警告）”となっている。

　なお、本脆弱性は12月29日にリリースされたv3.16ですでに修正されている。そのため、v3.16以降を利用してゲームが開発されていれば、本脆弱性の影響は受けない。ゲームに最新版がある場合は、それへの更新をお勧めする。

　また、本脆弱性はユーザーからの入力やデータの読み込みなどで得られた文字列を“DrawFormatString()”などの書式指定文字列を使用する関数で使用した場合にのみ影響する。そのため、ゲームが外部から入力された文字列を一切利用していない場合や、書式指定文字列を使用する関数で入力文字列を利用していない場合は脆弱性の影響を受けない。