Norton導入時に利用するダウンロードマネージャーに脆弱性

Symantecの「Norton Download Manager」に任意のコード実行を許す脆弱性が含まれていることがわかった。

同ソフトは、「Nortonシリーズ」の試用版やライセンス版の導入時に利用するプログラム。「同5.6」および以前のバージョンにおいて、検索パスの指定に問題があり、任意のdllファイルを読み込むおそれがある脆弱性「CVE-2016-6592」が存在するという。脆弱性を悪用された場合、任意のコードを実行されるおそれがある。

脆弱性情報のポータルサイトであるJVNによれば、同脆弱性は、三井物産セキュアディレクションの吉川孝志氏が情報処理推進機構（IPA）へ報告したもので、JPCERTコーディネーションセンターが調整を実施した。またSymantecによれば、Sachin M. Wagh氏やPraveen Singh氏からも同様の指摘を受けたという。

同社では脆弱性の報告を受けて修正を実施。最新版で脆弱性へ対処した。「Norton Download Manager」はLiveupdateによる自動アップデートの対象ではないため、利用者に対して「同5.6」および以前のバージョンを削除するよう呼びかけている。

「Norton Download Manager」を利用する製品は以下のとおり。

Norton Family
Norton AntiVirus
Norton AntiVirus Basic
Norton Internet Security
Norton 360
Norton 360 Premier
Norton Security
Norton Security with Backup
Norton Security Standard
Norton Security Deluxe
Norton Security Premium
Symantec Endpoint Protection Cloud

（Security NEXT - 2017/02/15 ） ツイート

PR

関連記事

「Spring Framework」「Spring Security」に認可回避の脆弱性
「NVIDIA Triton」に深刻な脆弱性 - アップデートで修正
最新OS「iOS/iPadOS 26」公開 - 旧OSではゼロデイ脆弱性を解消
Apple、「macOS Tahoe 26」で脆弱性77件を修正 - 旧OSも更新
ワークフロー管理ツール「Apache DolphinScheduler」に脆弱性
Samsung、モバイル端末の複数脆弱性を修正 - 一部で悪用も
AI開発フレームワーク「Flowise」に複数の「クリティカル」脆弱性
「MS Edge」にアップデート - 「クリティカル」脆弱性を解消
「Cisco IOS XR」にDoSや署名バイパスの脆弱性 - 修正版リリース
「Zoom Workplace」に複数の脆弱性 - 最新版で修正済み