「セキュリティ対策ツール」に対する Windows10 Fall Creators Update向け修正モジュールのインストーラにおける DLL 読み込みに関する脆弱性について

2018年11月12日

省庁・団体名

独立行政法人情報処理推進機構

概要

 西日本電信電話株式会社が提供する「セキュリティ対策ツール」に対する Windows10 Fall Creators Update向け修正モジュールのインストーラには、DLL 読み込みに関する脆弱性が存在します。

影響を受けるシステム

  • 「セキュリティ対策ツール」に対する Windows10 Fall Creators Update向け修正モジュール

詳細情報

 西日本電信電話株式会社が提供する「セキュリティ対策ツール」に対する Windows10 Fall Creators Update向け修正モジュールのインストーラには、DLL を読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定の DLL を読み込んでしまう脆弱性 (CWE-427) が存在します。

想定される影響

 インストーラを実行している権限で、任意のコードを実行される可能性があります。

対策方法

Windows10 Fall Creators Update向け修正モジュールを使用しない
開発者によると、Windows10 Fall Creators Update向け修正モジュールは一時的に提供していたものであり、現在は不要であるとのことです。
詳しくは、下記のURL製品開発者が提供する情報をご確認ください。

お問い合わせ

IPA セキュリティセンター
E-mail: vuln-inq@ipa.go.jp

一般社団法人JPCERTコーディネーションセンター
E-mail: vultures@jpcert.or.jp

詳細

PAGE TOP