ニュース

DirectXを利用したゲーム開発のためのライブラリ「DXライブラリ」に脆弱性

任意のコードが実行されてしまう恐れ。v3.16ですでに修正済み

 脆弱性対策情報ポータルサイト“JVN”は5日、DirectXを利用したゲーム開発を支援するオープンソースライブラリ「DXライブラリ」に脆弱性が存在することを明らかにした。

 “JVN”の脆弱性レポートによると、「DXライブラリ」v3.15eおよびそれより前のバージョンには内部関数“CL_vsprintf()”の処理に起因するバッファオーバーフローの脆弱性が存在するという。最悪の場合、「DXライブラリ」で開発されたゲームをプレイする際に任意のコードが実行されてしまう恐れがある。JPCERT/CCによる本脆弱性の評価は“CVSS v3”で基本値“8.1(危険)”、“CVSS v2”で基本値“6.8(警告)”となっている。

 なお、本脆弱性は12月29日にリリースされたv3.16ですでに修正されている。そのため、v3.16以降を利用してゲームが開発されていれば、本脆弱性の影響は受けない。ゲームに最新版がある場合は、それへの更新をお勧めする。

 また、本脆弱性はユーザーからの入力やデータの読み込みなどで得られた文字列を“DrawFormatString()”などの書式指定文字列を使用する関数で使用した場合にのみ影響する。そのため、ゲームが外部から入力された文字列を一切利用していない場合や、書式指定文字列を使用する関数で入力文字列を利用していない場合は脆弱性の影響を受けない。

ソフトウェア情報

「DXライブラリ」
【著作権者】
山田 巧 氏
【対応OS】
Windows 98以降
【ソフト種別】
フリーソフト
【バージョン】
3.16(15/12/29)

(樽井 秀人)