公的個人認証サービスのクライアントソフトインストーラに再び脆弱性見つかる
地方公共団体情報システム機構(J-LIS)が、Windows向けに提供する「公的個人認証サービス利用者クライアントソフト」のインストーラに脆弱性が含まれていることがわかった。2016年11月に同様の脆弱性が見つかっているが、異なる脆弱性だという。
脆弱性情報のポータルサイトであるJVNによれば、同製品のインストーラにおいて検索パスの設定に脆弱性「CVE-2017-2157」が判明したという。意図しないライブラリファイルを読み込み、コードを実行されるおそれがある。
2016年11月にも同製品において、類似した脆弱性「CVE-2016-4902」が修正されたが、あらたに別の脆弱性が明らかになったという。
同機構では、最新版となる「同3.1」を用意した。すでにインストール済みの環境に関しては影響を受けないとしている。
同脆弱性は、セキュリティ・プロフェッショナルズ・ネットワークの吉田英二氏や三井物産セキュアディレクションの吉川孝志氏が情報処理推進機構(IPA)へ報告したもので、JPCERTコーディネーションセンターが調整を実施した。
(Security NEXT - 2017/05/10 )
ツイート
PR
関連記事
「BIND 9」にサービス拒否の脆弱性 - 権威、リゾルバに影響
米当局、Ciscoのコミュニケーション製品の脆弱性悪用に注意喚起
「Cisco Unified Communications」に深刻なRCE脆弱性 - 攻撃試行も確認
Oracle、四半期パッチで脆弱性337件を修正 - CVSS 9以上が27件
Ciscoがゼロデイ脆弱性を修正、永続化機能の除去も - 侵害調査は別途必要
「Fleet」のWindows MDM登録に深刻な脆弱性 - 不正端末混入のおそれ
「NVIDIA Merlin Transformers4Rec」に脆弱性 - 権限昇格などのおそれ
ブラウザ「Chrome」のスクリプト処理に脆弱性 - 更新版を公開
ビデオ会議「Zoom」のオンプレミス製品に「クリティカル」脆弱性
WooCommerce向け2FAプラグインに脆弱性 - 認証回避のおそれ
