CVE-2023-45666 in stb_image情報

要約

〜によって VulDB • 2026年06月05日

stb_imageは、画像処理のための単一ファイルのMITライセンスのライブラリです。`stbi__load_gif_main`は、失敗した場合に出力値`*delays`の内容について保証を与えないように見えます。確かに`*delays`は初期化時にゼロに設定されますが、画像がGIFとして認識されなかった場合や、`stbi__load_gif_main_outofmem`が呼び出された場合、`*delays`に割り当てられた可能性のあるメモリを解放するだけで、ゼロにリセットしません。したがって、`stbi__load_gif_main`の呼び出し元は、`stbi__load_gif_main`がnull以外の値を返した場合のみ、`*delays`に割り当てられたメモリを解放する責任があると言えます。しかし同時に、関数はnull値を返す可能性があり、内部で`stbi__convert_format`が呼び出されて失敗した場合、`*delays`のメモリを解放しないことがあります。そのため、呼び出し元が`stbi__load_gif_main`が失敗しなかった場合にのみ`delays`を解放することを選択するとメモリリークが発生し、`delays`を常に解放すると二重解放(double-free)が発生する可能性があります。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

責任者

GitHub, Inc.

予約する

2023年10月10日

モデレーション

承諾済み

エントリ

VDB-243097

EPSS

0.00959

アクティビティ

非常低い

ソース

Do you know our Splunk app?

Download it now for free!