(続報)「ESET」シリーズのWindows向けインストーラーに脆弱性!
ようやくJVN#41452671が公開されたようです。
PCERT/CCのWebサイト
JVN#41452671: キヤノンITソリューションズ株式会社製の複数製品のインストーラにおける DLL 読み込みに関する脆弱性
キヤノンITソリューションズESETのサポートサイト
JVN#41452671を見ますと、
DLL を読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定の DLL を読み込んでしまう脆弱性 (CWE-427) が存在します。
とあります。
これは、近頃、よく見かける脆弱性ですね。重要なことは、外部の方が発見されたという事。
ESET社またはキヤノンITソリューションズ社が自分たちで、1年以上前(JPCERT/CCの注意喚起の公開日が2017/5/25)から、それなりに有名な脆弱性を発見を出来ていないわけで。猛反省して欲しいです。
JVNTA#91240916: Windows アプリケーションによる DLL 読み込みやコマンド実行に関する問題
ESET製品は、国や地域ごとに代理店がローカライズして販売しているようなので、日本固有の問題なのかな。USサイトとかをざっと覗いてみましたが、同じ脆弱性の記述を見つけられませんでした。(見落としたとしたらスミマセン)
ESET ファミリー セキュリティ (最新版) | 5台3年版 | オンラインコード版 | Win/Mac/Android対応
- 出版社/メーカー: キヤノンITソリューションズ
- 発売日: 2016/12/08
- メディア: Software Download
- この商品を含むブログ (1件) を見る
Microsoft Windows 10 Home April 2018 Update適用 32bit/64bit 日本語版【最新】|オンラインコード版
- 出版社/メーカー: マイクロソフト
- 発売日: 2015/11/06
- メディア: Software Download
- この商品を含むブログ (5件) を見る