「公的個人認証サービス」のインストーラに再び脆弱性
地方公共団体情報システム機構(J-LIS)が提供する「公的個人認証サービス」のWindows版クライアントソフトのインストーラに脆弱性が含まれていることが明らかになった。
脆弱性情報のポータルサイトであるJVNによれば、「Windows 7」環境のみ影響を受ける脆弱性「CVE-2017-10893」が判明したもの。
インストーラーを起動した際、意図しないライブラリファイルを読み込み、任意のコードを実行されるおそれがある。影響はインストーラーのみですでに導入済みの環境は影響を受けない。
過去に類似した脆弱性「CVE-2016-4902」「CVE-2017-2157」が明らかになっているが、これらとは異なる脆弱性だという。
同脆弱性は、Pink Flying Whaleの黒翼猫氏が情報処理推進機構(IPA)へ報告したもので、JPCERTコーディネーションセンターが調整を実施した。
対応策として、Windows 7に対してマイクロソフトが提供するパッチの適用と最新インストーラーの利用が呼びかけられている。
(Security NEXT - 2017/12/06 )
ツイート
PR
関連記事
ソフトバンクのメッシュWi-Fiルータに複数の脆弱性
GitLabに複数の脆弱性 - 重要なセキュリティ修正を含むアップデートを公開
「PAN-OS」の管理画面が外部公開されていないか確認を
Ivantiのリモートアクセス製品に脆弱性 - 「クリティカル」も複数
頻繁に悪用された脆弱性トップ15 - 多くでゼロデイ攻撃も
「Ivanti EPM」に深刻な脆弱性 - 修正パッチを提供
ビデオ会議サービス「Zoom」アプリに6件の脆弱性 - 最新版へ更新を
Citrixの複数製品に脆弱性、アップデートで修正
WindowsやCisco ASAなど脆弱性5件の悪用に注意呼びかけ - 米当局
「Chrome 131」をリリース - 12件のセキュリティ修正