JPCERT/CCで報告されております、Windows向けプログラムのインストーラーにおけるDLL読み込みに関する脆弱性への対応についてご案内します。
(リンクをクリックすると、JPCERT/CCのWebサイトが別ウインドウで開きます。)
本脆弱性の詳細は以下の通りです。
これからESET製品をインストールするお客さまは、Webページにて現在公開しております最新のインストーラーをダウンロードして実行していただきますようお願いします。
また、2018年7月18日 10:00より前にダウンロードされましたインストーラーは、速やかに削除していただきますようお願いします。
※ 過去のパッケージ製品に同梱されたCD-ROMをお持ちの場合、CD-ROMを使用せず、Webページからインストーラーをダウンロードしてご利用ください。
◆ 脆弱性の対象となる製品
◇ 個人向け製品
- ESET ファミリー セキュリティ(まるごと安心パックを含む)
- ESET パーソナル セキュリティ(まるごと安心パックを含む)
- ESET Smart Security Premium
- ESET Smart Security
◇ 法人向けクライアント専用製品
- ESET オフィス セキュリティ
- ESET NOD32アンチウイルス Windows/Mac対応
◇ 法人向け暗号化製品(パッケージ / ダウンロード製品)
◆ 脆弱性の対象となるプログラム
Windows環境でご利用いただける以下のプログラムのインストーラー(デジタル署名のタイムスタンプの日付が「2018年7月10日」以前のもの)が対象です。
※ Mac環境 / Android環境でご利用いただけるプログラムのインストーラーは、対象になりません。
◇ 個人向け製品 / 法人向けクライアント専用製品
- ESET Smart Security Premium
- ESET Internet Security
- ESET Smart Security
- ESET NOD32アンチウイルス
◇ 法人向け暗号化製品(パッケージ / ダウンロード製品)
◆ 脆弱性の詳細情報
対象のインストーラーは、DLLを読み込む際の検索パスに問題があるため、インストーラーと同一のディレクトリに存在する特定のDLLファイルを読み込んでしまう脆弱性が存在します。
◆ 想定される影響
インストーラーを実行している権限で、任意のコードが実行される可能性があります。
なお、本脆弱性の影響を受けるのはインストーラーの起動時のみです。既にインストールされたESET製品は影響を受けません。
◆ 対応方法
2018年7月18日 10:00頃、本脆弱性を修正したインストーラーを公開しました。
これからESET製品をインストールするお客さまは、以下のWebページにて現在公開しております最新のインストーラーをダウンロードして実行してください。
2018年7月18日 10:00より前にダウンロードされましたインストーラーは、速やかに削除してください。
※ 過去のパッケージ製品に同梱されたCD-ROMをお持ちの場合、CD-ROMを使用せず、Webページからインストーラーをダウンロードしてご利用ください。
◇ 個人向け製品 / 法人向けクライアント専用製品
◇ 法人向け暗号化製品(パッケージ / ダウンロード製品)
【 サポートセンターへのお問い合わせ 】
本脆弱性に関してご不明な点がございましたら、以下の弊社サポートセンターにお問い合わせください。
- 個人向け製品をご利用の場合はこちら
- 法人向けクライアント専用製品をご利用の場合はこちら
- 法人向け暗号化製品をご利用の場合はこちら
お客さまにはご迷惑をお掛けしましたことを、深くお詫び申し上げます。