独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は1月28日、libheifにおける境界外読み取りの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
libheif v1.19.0からv1.20.2まで
※v1.17.6およびそれ以前のバージョンは影響を受けない
HEIF(High Efficiency Image File Format)等の画像データのデコードおよびエンコードに使用されるライブラリ libheifには、非圧縮コーデックの処理における境界チェックの不備に起因して、バッファの終端を越えた読み取りが発生する脆弱性(CVE-2025-65586)が存在し、細工されたHEIFファイルが処理されると、セグメンテーションフォルトによるアプリケーションの異常終了を引き起こす可能性がある。
想定される影響としては、攻撃者が細工したHEIF画像をlibheifに処理させた場合、アプリケーションが異常終了し、サービス運用妨害(DoS)状態となる可能性がある。
JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。なお本脆弱性は、libheif v1.21.0で修正されている。
