DICOM医療画像ファイル向けのGrassroots DICOMオープンソースライブラリにおいて、中程度の深刻度の脆弱性が特定されました。 この脆弱性は低い複雑性の攻撃で悪用可能で、攻撃者が悪意のあるDICOMファイルを作成できる可能性があります。そのファイルが開かれると、アプリケーションがクラッシュし、サービス拒否(DoS)状態を引き起こすおそれがあります。
この境界外書き込みの脆弱性はGrassroots DICOMライブラリ(GDCM)に存在し、カプセル化されたPixelDataフラグメントを含む不正な形式のDICOMファイルの解析中にトリガーされます。この脆弱性により境界外のメモリアクセスが発生し、セグメンテーションフォルトを引き起こします。脆弱性の原因はバッファのインデックス処理における符号なし整数のアンダーフローであり、ファイル入力を介して悪用可能です。クラッシュを引き起こすには、特別に細工された悪意のあるDICOMファイルを開くだけで十分です。
この脆弱性はCVE-2025-11266として追跡されており、CVSS v3.1の基本スコアは6.6、CVSS v4スコアは6.8が割り当てられています。この脆弱性はサイバーセキュリティアナリストのMorgen Malinoski氏によって特定され、同氏が米国サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)に報告しました。
この脆弱性は修正済みであり、ユーザーはGrassroots DICOMをバージョン3.2.2またはそれ以降に更新する必要があります。更新版はメインのGitHubリポジトリからダウンロードできます。CISAによると、SimpleITKおよびmedInriaもこの脆弱性に対する修正をリリースしています。
脆弱性の悪用に対する予防策として、CISAは制御システムのデバイスおよび/またはシステムをファイアウォールの内側に配置して業務ネットワークから分離し、さらにインターネットからアクセスできないようにすることを推奨しています。リモートアクセスを無効化できない場合は、仮想プライベートネットワーク(VPN)などの安全な方法で接続し、VPNが最新のソフトウェアバージョンで稼働していることを確認すべきです。
翻訳元: https://www.hipaajournal.com/grassroots-dicom-vulnerability-patched/
