KDDI「安心ネットセキュリティ」のインストーラに任意コード実行の脆弱性(JVN) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.02.21(水)

KDDI「安心ネットセキュリティ」のインストーラに任意コード実行の脆弱性(JVN)

脆弱性と脅威 セキュリティホール・脆弱性

独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は2月6日、KDDI株式会社が提供する「安心ネットセキュリティ(Windows版)」のインストーラに、DLL読み込みに関する脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。CVSS v3によるBase Scoreは7.8。橘総合研究所の英利雅美氏が報告を行った。

「安心ネットセキュリティ(Windows版)バージョン 16.0.1.44 およびそれ以前」のインストーラには、DLLを読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定のDLLを読み込んでしまう脆弱性(CVE-2018-0517)が存在する。この脆弱性により、インストーラを実行している権限で任意のコードを実行される可能性がある。JVNでは、開発者が提供する情報をもとに最新のインストーラを使用するよう呼びかけている。

《吉澤 亨史》

関連記事

特集

PageTop

アクセスランキング

  1. 情報漏えいをする人は会社にとって大切な人材~働き方改革成功の鍵を握るセキュリティのポイント(ワンビ)[Security Days Spring 2018]

    情報漏えいをする人は会社にとって大切な人材~働き方改革成功の鍵を握るセキュリティのポイント(ワンビ)[Security Days Spring 2018]PR

  2. プレスと自分の無力さを実感したフィンランドの2日間--F-Secureイベント

    プレスと自分の無力さを実感したフィンランドの2日間--F-Secureイベント

  3. 米ATMハッキング被害「ジャックポッティング」手法と対策(The Register)

    米ATMハッキング被害「ジャックポッティング」手法と対策(The Register)

  4. 不正アクセスにより情報漏えいの可能性(産業技術総合研究所)

    不正アクセスにより情報漏えいの可能性(産業技術総合研究所)

  5. 次世代FWの仮想マシンをGoogle Cloudで提供(フォーティネットジャパン)

    次世代FWの仮想マシンをGoogle Cloudで提供(フォーティネットジャパン)

  6. JPドメインにおける「送信ドメイン認証技術」の設定状況調査(総務省)

    JPドメインにおける「送信ドメイン認証技術」の設定状況調査(総務省)

  7. ランサムウェアの次なる形態「中抜き」(The Register)

    ランサムウェアの次なる形態「中抜き」(The Register)

  8. [セキュリティ ホットトピック] 「Meltdown」と「Spectre」問題点と最新動向おさらい

    [セキュリティ ホットトピック] 「Meltdown」と「Spectre」問題点と最新動向おさらい

  9. 「Quagga bgpd」に任意コード実行など複数の脆弱性(JVN)

    「Quagga bgpd」に任意コード実行など複数の脆弱性(JVN)

  10. 「静岡でiCloudへのサインインがあった」、偽Appleメールを確認(フィッシング対策協議会)

    「静岡でiCloudへのサインインがあった」、偽Appleメールを確認(フィッシング対策協議会)

ランキングをもっと見る