IPA/「SKYSEA Client View」のインストーラにおける DLL 読み込みに関する脆弱性

2021年1月12日

省庁・団体名

独立行政法人情報処理推進機構

内容

　IPA(独立行政法人情報処理推進機構)セキュリティセンターおよびJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、2021年1月12日に「『SKYSEA Client View』のインストーラにおけるDLL 読み込みに関する脆弱性」を、JVN(Japan Vulnerability Notes)において公表しました。

◆概要
・Sky株式会社が提供する「SKYSEA Client View」は、IT資産管理用ツールです。

・「SKYSEA Client View」のインストーラには、DLLを読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定のDLLを読み込んでしまう脆弱性が存在します。

・インストーラを実行している権限で、任意のコードを実行される可能性があります。

・開発者が提供する情報をもとに、最新のインストーラを使用してください。

◆この脆弱性情報は、2020年10月20日にIPAが届出を受け、JPCERT/CCが、製品開発者と調整を行ない、本日公表したものです。

◆詳細については、こちらをご覧ください。
・「SKYSEA Client View」のインストーラにおける DLL 読み込みに関する脆弱性
※もしくは、https://jvn.jp/jp/ から「JVN#69635538」を参照

本件に関するお問合せ先

IPA セキュリティセンター
　E-mail: vuln-inq@ipa.go.jp

一般社団法人JPCERTコーディネーションセンター
　E-mail: vultures@jpcert.or.jp

※個別製品の脆弱性情報の詳細につきましては、製品開発者にお問い合わせください。