「セキュリティ対策ツール」に対する Windows10 Fall Creators Update向け修正モジュールのインストーラにおける DLL 読み込みに関する脆弱性について
2018年11月12日
省庁・団体名
独立行政法人情報処理推進機構
概要
西日本電信電話株式会社が提供する「セキュリティ対策ツール」に対する Windows10 Fall Creators Update向け修正モジュールのインストーラには、DLL 読み込みに関する脆弱性が存在します。
影響を受けるシステム
- 「セキュリティ対策ツール」に対する Windows10 Fall Creators Update向け修正モジュール
詳細情報
西日本電信電話株式会社が提供する「セキュリティ対策ツール」に対する Windows10 Fall Creators Update向け修正モジュールのインストーラには、DLL を読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定の DLL を読み込んでしまう脆弱性 (CWE-427) が存在します。
想定される影響
インストーラを実行している権限で、任意のコードを実行される可能性があります。
対策方法
Windows10 Fall Creators Update向け修正モジュールを使用しない
開発者によると、Windows10 Fall Creators Update向け修正モジュールは一時的に提供していたものであり、現在は不要であるとのことです。
詳しくは、下記のURL製品開発者が提供する情報をご確認ください。
お問い合わせ
IPA セキュリティセンター
E-mail: vuln-inq@ipa.go.jp
一般社団法人JPCERTコーディネーションセンター
E-mail: vultures@jpcert.or.jp