プログラムのクラッシュは脅威
この脆弱性はプログラムのクラッシュがきっかけで発見されました。プログラムがただクラッシュするだけで任意のコード実行ができないのであれば、大した問題ではないのではないか? という意見もあるかと思います。しかし、今回のようなライブラリにおけるクラッシュの問題は、見過ごすことのできない重大な問題です。
広くさまざまなソフトウェアで利用されるライブラリが原因でプログラムがクラッシュする場合、問題の部分がどのように使われているかによって、その影響がどのような形で現れるかが変わってきます。ライブラリが画像処理サーバやWebアプリケーションなどで利用されている場合、単なるプログラムのクラッシュが企業のビジネスやサービスを停止させるほどの悪影響を及ぼす問題にも発展しかねません。
今回の問題が発生した原因は、符号付きデータと符号無しデータが混在した形の演算を行ったことにあります。プログラムを開発する際には、整数演算において符号の有無が混在しない形にするよう心掛けてください。また、どうしても混在した演算をしなければならない場合には、整数演算における型変換に関するルールを思い出し、プログラムの挙動を確認してください。
