バッファーオーバーフローは「許しがたい欠陥」　FBIとCISAが根絶に向け動く：Cybersecurity Dive

　バッファーオーバーフローの脆弱性は、メモリ安全性を考慮したソフトウェアの設計において広く存在する問題であり（注2）、データの破損やプログラムのクラッシュ、機密データの漏えい、リモートでのコード実行につながる恐れがある。

　CISAはメモリ安全性の高い言語の使用を推奨することで、ソフトウェアの開発段階で脆弱性を排除しようとしており、この警告はそれらの取り組みの一環として発表された。

　この勧告は「セキュア・バイ・デザイン」と呼ばれる広範な取り組みの一環でもある。同取り組みは、企業の顧客が自社の技術スタック内の脆弱性を追跡しなくても済むように、製品のセキュリティに関する負担をメーカー側に移すことを目的としている。

　セキュリティテストサービスを提供するVeracodeの創設者であり、最高セキュリティエバンジェリストであるクリス・ウィソパル氏は「CやC++で書かれたソフトウェアではバッファーオーバーフローの脆弱性がよくみられる」と述べた。その理由は、これらの言語ではプログラマーがメモリ管理を完璧に実施する必要があり、それが非常に難しいためだ。

　FBIとCISAは、バッファーオーバーフローの脆弱性を「許しがたい欠陥」と表現し、近年発見された具体的な脆弱性として、次のようなものを挙げた。

• 「Ivanti Connect Secure」および「Ivanti Policy Secure」におけるスタックベースのバッファーオーバーフローの脆弱性「CVE-2025-0282」（注3）（注4）
• 「Citrix Netscaler ADC」および「Netscaler Gateway」における脆弱性「CVE-2023-6549」（注5）
• 「VMware vCenter Server」における重大な脆弱性「CVE-2024-38812」（注6）