ユーザに任意のコードを実行させてしまう脆弱性が Blender に発見されました。この問題をすべてのプラットフォームの Blender 2.42に影響する疑いがあります。

Gentoo Linux セキュリティ勧告

概要
ユーザに任意のコードを実行させてしまう脆弱性が Blender に発見されました。

影響を受けるパッケージ

---

Package / Vulnerable / Unaffected

---

1 media-gfx/blender < 2.43 >= 2.43

解説
Secunia Research の Stefan Cornelius氏は、kmz_ImportWithMesh.py 内の "eval()" 関数がセキュアに使用されていないのを発見しました。

影響
外部の攻撃者が特別に作成した .kmz もしくは .kml(訳注：Google Earth と SketchUp のファイル。原文は Blender File ですが恐らく間違いだと思います)をユーザが開くように誘うことで、任意の Python コードを、Blender を動かしているユーザの特権で実行できます。

対処
現時点では対処の方法はまだわかりません。

解決方法
すべての Blender ユーザは最新バージョンに更新して下さい。

# emerge ?sync
# emerge ?ask ?oneshot ?verbose ">=media-gfx/blender-2.43"

オリジナルのレポートは Help Net Security にあります。