headless 曰く、

zlib に 17 年前から存在し、4 年前に報告されたものの放置されていた脆弱性が修正された (The Register の記事、 Tavis Ormandy 氏の oss-security メーリングリスト投稿)。

この脆弱性はメモリ破損の脆弱性で、離れた位置の一致を多数含むファイルを圧縮しようとした場合に出力結果が破損するというもの。4 年前に 13 年前の zlib 1.2.2.2 から存在する脆弱性として報告されてパッチもコミットされていたが、このパッチがリリース版に含まれることはなく、今回 Google Project Zero の Tavis Ormandy 氏が再発見するまで CVE 番号さえも割り当てられずに放置されていた。今回の再発見を受け、2018 年に報告された脆弱性を示すCVE番号 CVE-2018-25032 が 3 月 25 日に割り当てられ、zlib 1.2.12 で修正されている。