Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ウェブブラウザ「Vivaldi」のWindows版インストーラに脆弱性

Vivaldi Technologiesが開発するウェブブラウザ「Vivaldi」のWindows版インストーラに、意図しない実行ファイルを読み込む脆弱性が含まれていることが判明した。

インストーラの検索パスに問題があり、利用者の意図に反して特定の場所に保存された実行ファイルを読み込む脆弱性「CVE-2017-2156」が判明したもの。

同脆弱性は、セキュリティ・プロフェッショナルズ・ネットワークの吉田英二氏が情報処理推進機構(IPA)へ報告したもので、JPCERTコーディネーションセンターが調整した。

Vivaldi Technologiesでは、「同1.7.735.48」で脆弱性を修正。同脆弱性はインストーラのみ影響があり、インストール済みの環境に関しては影響を受けないという。

またデルタアップグレード機能にも同様の脆弱性が含まれていることが判明し、同社では「同1.8」で修正している。

(Security NEXT - 2017/04/25 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Apache Camel」にLDAPインジェクションの脆弱性
「MS Edge」にセキュリティアップデート - ゼロデイ脆弱性を解消
フォーラムソフト「NodeBB」にアカウント乗っ取りが可能となる脆弱性
「Feature Toggle」のJava実装「FF4j」に深刻な脆弱性
「Apache Fineract」にパストラバーサルの脆弱性
「Chrome」にゼロデイ脆弱性 - 前回ゼロデイ対応から1週間強で
Ubuntuに権限昇格の脆弱性 - 詳細情報も公開
Zohoのアクセス関連製品に複数のSQLi脆弱性
WP向けプラグイン「WP User Frontend」に深刻な脆弱性 - PoC公開済み
「Apache DolphinScheduler」にコードインジェクションの脆弱性