「ESET NOD32」など複数製品に、DLL読込起因の任意コード実行の脆弱性(JVN) | ScanNetSecurity
2024.07.27(土)

「ESET NOD32」など複数製品に、DLL読込起因の任意コード実行の脆弱性(JVN)

IPAおよびJPCERT/CCは、キヤノンITソリューションズが提供する複数の製品のインストーラにDLL読み込みに関する脆弱性が存在すると「JVN」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
facebookLINE
独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は7月24日、キヤノンITソリューションズ株式会社が提供する複数の製品のインストーラにDLL読み込みに関する脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。CVSS v3によるBase Scoreは7.8。NTTコミュニケーションズ株式会社の東内裕二氏が報告を行った。影響を受けるシステムは次の通り(デジタル署名のタイムスタンプの日付が「2018年7月10日」以前となっているインストーラ)。

・ESET Smart Security Premium
・ESET Internet Security
・ESET Smart Security
・ESET NOD32アンチウイルス
・DESlock+ Pro
・CompuSec (パッケージ製品以外の全プログラム)

これらの製品には、DLLを読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定のDLLを読み込んでしまう脆弱性(CVE-2018-0649)が存在する。この脆弱性により、インストーラを実行している権限で任意のコードを実行される可能性がある。JVNでは、開発者が提供する情報をもとに最新のインストーラを使用するよう呼びかけている。

《吉澤 亨史( Kouji Yoshizawa )》

特集

関連リンク

関連記事

PageTop

アクセスランキング

  1. レッドチーム演習大成功 丸五か月間誰も気づけず

    レッドチーム演習大成功 丸五か月間誰も気づけず

  2. ベルシステム24 のベトナム子会社に不正アクセス、コールセンター受託業務での顧客情報漏えいの可能性

    ベルシステム24 のベトナム子会社に不正アクセス、コールセンター受託業務での顧客情報漏えいの可能性

  3. 東京海上日動火災保険 提携先の税理士法人にランサムウェア攻撃

    東京海上日動火災保険 提携先の税理士法人にランサムウェア攻撃

  4. 富士通の複数の業務パソコンに高度な手法で攻撃を行うマルウェア、複製指示のコマンドを実行し拡大

    富士通の複数の業務パソコンに高度な手法で攻撃を行うマルウェア、複製指示のコマンドを実行し拡大

  5. ランサムウェア集団が謝罪

    ランサムウェア集団が謝罪

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP