「公的個人認証サービス」クライアントに任意のコードを実行される脆弱性(JVN) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.12(火)

「公的個人認証サービス」クライアントに任意のコードを実行される脆弱性(JVN)

脆弱性と脅威 セキュリティホール・脆弱性

独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は12月6日、地方公共団体情報システム機構(J-LIS)が提供するWindows版「公的個人認証サービス 利用者クライアントソフト」のインストーラに、DLL読み込みに関する脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。CVSS v3によるBase Scoreは7.8。Pink Flying Whaleの黒翼猫氏が報告を行った。

「公的個人認証サービス 利用者クライアントソフト Ver3.1およびそれ以前」のインストーラには、DLLを読み込む際の検索パスに問題があり、意図しないDLLを読み込んでしまう脆弱性(CVE-2017-10893)が存在する。なお、Windows7環境下のみが影響を受ける。この脆弱性により、インストーラを実行している権限で任意のコードを実行される可能性がある。JVNでは、開発者が提供する情報をもとに、Windows 7 のパッチ(KB2533623)を適用した上で、最新のインストーラを使用するよう呼びかけている。

《吉澤 亨史》

特集

関連記事

PageTop

アクセスランキング

  1. OSSのデータ収集ツール「Fluentd」に任意コマンド実行などの脆弱性(JVN)

    OSSのデータ収集ツール「Fluentd」に任意コマンド実行などの脆弱性(JVN)

  2. Microsoft Office の数式エディタにおけるバッファオーバーフローの脆弱性(Scan Tech Report)

    Microsoft Office の数式エディタにおけるバッファオーバーフローの脆弱性(Scan Tech Report)

  3. 送信者を偽装できる脆弱性「Mailsploit」に注意、メールソフト別対応状況一覧(JPCERT/CC)

    送信者を偽装できる脆弱性「Mailsploit」に注意、メールソフト別対応状況一覧(JPCERT/CC)

  4. C&Cサーバへの攻撃デモ、サイバーセキュリティに報復攻撃は認められるべきか

    C&Cサーバへの攻撃デモ、サイバーセキュリティに報復攻撃は認められるべきか

  5. Scan勉強会「サイバー空間における日本企業及団体の情報漏えい実態」開催(イード)

    Scan勉強会「サイバー空間における日本企業及団体の情報漏えい実態」開催(イード)

  6. 2020大会関係者向け疑似サイバー攻撃演習、システムを忠実に再現(NICT)

    2020大会関係者向け疑似サイバー攻撃演習、システムを忠実に再現(NICT)

  7. 公共の場所の監視カメラ調達などに活用、ネットワークカメラのセキュリティ対策基準公開(IPA)

    公共の場所の監視カメラ調達などに活用、ネットワークカメラのセキュリティ対策基準公開(IPA)

  8. 捜査中だった米大統領選に使用されたサーバのデータが消失(The Register)

    捜査中だった米大統領選に使用されたサーバのデータが消失(The Register)

  9. 「ネタバレ」サイトの運営者を逮捕、アフィリエイトで3年間で3億円の収入(ACCS)

    「ネタバレ」サイトの運営者を逮捕、アフィリエイトで3年間で3億円の収入(ACCS)

  10. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

ランキングをもっと見る
PageTop