製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

International Color Consortium (ICC)のiccDEVにおけるスタックベースのバッファオーバーフローの脆弱性

タイトル	International Color Consortium (ICC)のiccDEVにおけるスタックベースのバッファオーバーフローの脆弱性
概要	iccDEVはICCカラーマネジメントプロファイルを扱うためのライブラリとツールのセットを提供しています。バージョン2.3.1.6以前では、細工されたICCプロファイルがiccApplyNamedCmm経由で処理される際に、CIccCalculatorFunc::Apply()内でスタックバッファオーバーフロー（SBO）が引き起こされる可能性がありました。AddressSanitizerを使用すると、この障害はIccProfLib/IccMpeCalc.cppの3873行目で発生する4バイト書き込みによるスタックバッファオーバーフローとして報告され、MPE計算機のカーブセット初期化パスを経由して到達可能であることが確認されました。この問題はバージョン2.3.1.6で修正されています。
想定される影響	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年3月31日0:00
登録日	2026年4月21日10:47
最終更新日	2026年4月21日10:47

CVSS3.0 : 警告
スコア	5.5
ベクター	CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

影響を受けるシステム

International Color Consortium (ICC)

iccDEV 2.3.1.6 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-34542	https://www.cve.org/CVERecord?id=CVE-2026-34542
National Vulnerability Database (NVD)
2	CVE-2026-34542	https://nvd.nist.gov/vuln/detail/CVE-2026-34542

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-121	https://cwe.mitre.org/data/definitions/121.html

ベンダー情報

No	名前	URL
GitHub
1	SBO in CIccCalculatorFunc::Apply() Advisory InternationalColorConsortium/iccDEV GitHub	https://github.com/InternationalColorConsortium/iccDEV/security/advisories/GHSA-6749-6859-wf96

その他

No	名前	URL
関連文書
1	Fix: SBO in CIccCalculatorFunc::Apply() by ChrisCoxArt Pull Request #694 InternationalColorConsortium/iccDEV GitHub	https://github.com/InternationalColorConsortium/iccDEV/pull/694
2	SBO in CIccCalculatorFunc::Apply() at IccMpeCalc.cpp:3873 Issue #678 InternationalColorConsortium/iccDEV	https://github.com/InternationalColorConsortium/iccDEV/issues/678

変更履歴

No	変更内容	変更日
1	[2026年04月21日] 掲載	2026年4月21日10:47

NVD脆弱性情報

CVE-2026-34542

概要	iccDEV provides a set of libraries and tools for working with ICC color management profiles. Prior to version 2.3.1.6, a crafted ICC profile can trigger a stack-buffer-overflow (SBO) in CIccCalculatorFunc::Apply() when processed via iccApplyNamedCmm. Under AddressSanitizer, the failure is reported as a 4-byte write stack-buffer-overflow in IccProfLib/IccMpeCalc.cpp:3873, reachable through the MPE calculator / curve set initialization path. This issue has been patched in version 2.3.1.6.
概要	iccDEV proporciona un conjunto de bibliotecas y herramientas para trabajar con perfiles de gestión de color ICC. Antes de la versión 2.3.1.6, un perfil ICC manipulado puede desencadenar un desbordamiento de búfer de pila (SBO) en CIccCalculatorFunc::Apply() cuando se procesa a través de iccApplyNamedCmm. Bajo AddressSanitizer, el fallo se informa como un desbordamiento de búfer de pila de escritura de 4 bytes en IccProfLib/IccMpeCalc.cpp:3873, accesible a través de la ruta de inicialización del calculador MPE / conjunto de curvas. Este problema ha sido parcheado en la versión 2.3.1.6.
公表日	2026年4月1日7:16
登録日	2026年4月27日12:21
最終更新日	2026年4月20日23:31

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:color:iccdev::::::::					2.3.1.6

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/InternationalColorConsortium/iccDEV/issues/678	security-advisories@github.com
2	https://github.com/InternationalColorConsortium/iccDEV/pull/694	security-advisories@github.com
3	https://github.com/InternationalColorConsortium/iccDEV/security/advisories/GHSA-6749-6859-wf96	security-advisories@github.com

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-121	スタックオーバーフロー	https://cwe.mitre.org/data/definitions/121.html