独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は9月18日、Assimpにおけるヒープベースのバッファオーバーフローの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。NTTセキュリティホールディングス株式会社の川古谷裕平氏が報告を行っている。影響を受けるシステムは以下の通り。
Assimp 5.4.3より前のバージョン
Open Asset Import Libraryが提供するAssimpのPlyLoader.cppには、ヒープベースのバッファオーバーフローの脆弱性が存在し、第三者によって細工されたファイルが入力されると任意のコードを実行される可能性がある。
JVNでは、開発者が提供する情報をもとに最新版にアップデートするよう呼びかけている。なお、開発者は、本脆弱性を修正したバージョン5.4.3をリリースしている。
