「i-フィルター 6.0」のインストーラなどに任意コード実行の脆弱性（JVN）

IPAおよびJPCERT/CCは、デジタルアーツが提供する有害サイトフィルタリングソフト「i-フィルター 6.0」のインストールプログラムおよびインストーラに、DLL読み込みや実行ファイル呼び出しに関する脆弱性が存在すると「JVN」で発表した。

脆弱性と脅威セキュリティホール・脆弱性

2017.9.15 Fri 8:00

独立行政法人情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は9月14日、デジタルアーツ株式会社が提供する有害サイトフィルタリングソフト「i-フィルター 6.0」のインストールプログラムおよびインストーラに、DLL読み込みや実行ファイル呼び出しに関する脆弱性が存在すると「Japan Vulnerability Notes（JVN）」で発表した。CVSS v3によるBase Scoreは7.8。橘総合研究所の英利雅美氏が報告を行った。

「『i-フィルター 6.0 インストールプログラム』ファイルバージョン 1.0.8.1 およびそれ以前」、「『i-フィルター 6.0 インストーラー』デジタル署名のタイムスタンプが 2017年8月23日 (JST) より古い日付となっている版」には、同一ディレクトリに存在する特定のDLLの読み込み（CVE-2017-10858、CVE-2017-10859）、同一ディレクトリに存在する特定の実行ファイルの呼び出し（CVE-2017-10860）の脆弱性が存在する。前者はCVE-2017-10858、後者はCVE-2017-10859、CVE-2017-10860の影響を受ける。

これらの脆弱性により、インストールプログラムやインストーラを実行している権限で、任意のコードを実行される可能性がある。JVNでは、開発者が提供する情報をもとに、最新のインストールプログラムおよびインストーラを使用するよう呼びかけている。

《吉澤亨史（ Kouji Yoshizawa ）》