この日はAWSセキュリティ速報が1件公開されました。Amazon Ion形式のデータを読み書きするC言語ライブラリIon-Cにおける整数オーバーフローの脆弱性(CVE-2025-12829)で、v1.1.4より前のバージョンには未初期化スタック読み取りの問題があると報告されています。攻撃者が細工したデータをIonテキストへシリアライズすることで、UTF-8エスケープシーケンスを通じてメモリ上の機微データが露出する可能性があります。重要度は「Important」で、影響を受けるのはv1.1.4未満のバージョンです。
Amazon Ion-Cの整数オーバーフロー/未初期化スタック読み取り脆弱性 (CVE-2025-12829)
Bulletin ID: AWS-2025-027
Scope: Amazon
Content Type: Important (requires attention)
Publication Date: 2025/11/7 10:15 AM PDT
Description:
Amazon's Ion-C is a library for the C language that is used to read and write Amazon Ion data.
We Identified CVE-2025-12829, which describes an uninitialized stack read issue in Ion-C versions < v1.1.4 that may allow a threat actor to craft data and serialize it to Ion text in such a way that sensitive data in memory could be exposed through UTF-8 escape sequences.
Impacted versions: < v1.1.4