Norton導入時に利用するダウンロードマネージャーに脆弱性

Symantecの「Norton Download Manager」に任意のコード実行を許す脆弱性が含まれていることがわかった。

同ソフトは、「Nortonシリーズ」の試用版やライセンス版の導入時に利用するプログラム。「同5.6」および以前のバージョンにおいて、検索パスの指定に問題があり、任意のdllファイルを読み込むおそれがある脆弱性「CVE-2016-6592」が存在するという。脆弱性を悪用された場合、任意のコードを実行されるおそれがある。

脆弱性情報のポータルサイトであるJVNによれば、同脆弱性は、三井物産セキュアディレクションの吉川孝志氏が情報処理推進機構（IPA）へ報告したもので、JPCERTコーディネーションセンターが調整を実施した。またSymantecによれば、Sachin M. Wagh氏やPraveen Singh氏からも同様の指摘を受けたという。

同社では脆弱性の報告を受けて修正を実施。最新版で脆弱性へ対処した。「Norton Download Manager」はLiveupdateによる自動アップデートの対象ではないため、利用者に対して「同5.6」および以前のバージョンを削除するよう呼びかけている。

「Norton Download Manager」を利用する製品は以下のとおり。

Norton Family
Norton AntiVirus
Norton AntiVirus Basic
Norton Internet Security
Norton 360
Norton 360 Premier
Norton Security
Norton Security with Backup
Norton Security Standard
Norton Security Deluxe
Norton Security Premium
Symantec Endpoint Protection Cloud

（Security NEXT - 2017/02/15 ） ツイート

PR

関連記事

「MongoDB」に脆弱性「MongoBleed」 - 「PoC」公開、早急に対応を
メール転送エージェント「Exim」に脆弱性 - 「クリティカル」評価も
「Apache NiFi」の「Asana」連携の一部処理にRCE脆弱性
ワークフローツール「n8n」に今月3件目の「クリティカル」脆弱性
「IBM API Connect」に認証回避の脆弱性 - 暫定修正を提供
Fortinet「FortiOS」既知脆弱性の悪用を確認 - 認証回避のおそれ
Atlassian、前月更新で脆弱性46件を修正 - クリティカル9件含むも影響は限定的
NVIDIAのAI基盤「NeMo Framework」に複数脆弱性 - 修正版が公開
「Trend Micro Apex One」のEDR機能に脆弱性 - パッチは2026年1月に公開
約4万件の脆弱性から分析、2025年の危険な「脆弱性タイプ」トップ25