zlib に 17 年前から存在し、4 年前に報告されたものの放置されていた脆弱性が修正された (The Register の記事、 Tavis Ormandy 氏の oss-security メーリングリスト投稿)。

この脆弱性はメモリ破損の脆弱性で、離れた位置の一致を多数含むファイルを圧縮しようとした場合に出力結果が破損するというもの。4 年前に 13 年前の zlib 1.2.2.2 から存在する脆弱性として報告されてパッチもコミットされていたが、このパッチがリリース版に含まれることはなく、今回 Google Project Zero の Tavis Ormandy 氏が再発見するまで CVE 番号さえも割り当てられずに放置されていた。今回の再発見を受け、2018 年に報告された脆弱性を示すCVE番号 CVE-2018-25032 が 3 月 25 日に割り当てられ、zlib 1.2.12 で修正されている。

すべて読む | ITセクション | オープンソース | セキュリティ | バグ |

関連ストーリー：
Microsoft、クラウド向けデータ圧縮アルゴリズムをオープンソース化 2019年03月20日
7-Zipで任意コード実行が可能となる2件の脆弱性 2016年05月15日
新たなデータ圧縮アルゴリズム「LZHAM」 2015年01月27日
Google、オープンソースソフトウェアの脆弱性修正にも報奨金を提供 2013年10月13日
6月末リリース予定のFirefox 22は一部のJavaScriptコードを高速に実行させる「asm.js」を搭載 2013年03月26日
VMware、Spring Frameworkに深刻な脆弱性「CVE-2022-22965」を発表。修正は公開済み 2022年04月05日