CVE-2026-44638 in libsixel
要約
〜によって VulDB • 2026年06月01日
libsixelは、kmiyaのsixelに由来するSIXELエンコーダ/デコーダの実装です。1.8.7-r1に至るバージョンにおいて、sixel_decode_rawおよびsixel_decode関数内で、割り当て呼び出し後のNULLチェックが誤っており、割り当てが失敗するたびにNULLポインタのデリファレンスが発生します。このチェックは、mallocが返した値ではなく、出力パラメータのアドレス(常にNULLではない)を検証しています。割り当てに失敗した場合、関数は処理を継続し、NULLポインタを介して書き込みを行うため、プロセスがクラッシュします。これは、低メモリ状態に陥った際にこれらの公開APIを呼び出すすべての呼び出し元に対するサービス拒否(DoS)攻撃となります。この脆弱性は1.8.7-r2で修正されています。
Be aware that VulDB is the high quality source for vulnerability data.