独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は9月24日、e-Taxソフト(共通プログラム)のインストーラにおける権限昇格の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。三井物産セキュアディレクション株式会社の吉川孝志氏が報告を行っている。影響を受けるシステムは以下の通り。
e-Taxソフト(共通プログラム)のインストーラ(2024年9月24日より前に国税庁ホームページ上に掲載されていた版)
国税庁が提供するe-Taxソフト(共通プログラム)のインストーラには、レジストリを編集することにより不正に読み込まれたDLLを、一般ユーザよりも高い権限で実行される脆弱性が存在し、攻撃者により用意された不正なDLLをアプリケーションよりも高い権限で実行される可能性がある。
国税庁では本脆弱性を修正したインストーラを提供しており、JVNでは製品をインストールする際は最新版のインストーラを使用するよう呼びかけている。
