- 個人向け製品 カテゴリー一覧 > 不具合・トラブル > Windows向けクライアント用プログラムで報告されている脆弱性への対応について(CVE-2021-37851/CVE-2022-27167)
Windows向けクライアント用プログラムで報告されている脆弱性への対応について(CVE-2021-37851/CVE-2022-27167)
- カテゴリー :
回答
Windows向けクライアント用プログラムで報告されている脆弱性(CVE-2021-37851 / CVE-2022-27167)への対応についてご案内いたします。
本脆弱性の詳細は以下の通りです。
脆弱性の対象となるプログラムをご利用中のお客さまは、修正モジュールを適用していただきますようお願いします。
◆ 脆弱性の対象となるプログラム
Windows環境でご利用いただける以下のプログラムが対象です。
| プログラム名 | バージョン | |
|
・ESET Smart Security Premium
・ESET Internet Security
・ESET NOD32アンチウイルス
|
||
| V11(※1) | 11.2.49.0 / 11.2.63.0 | |
| V12(※1) | 12.0.31.0 / 12.1.31.0 / 12.1.34.0 / 12.2.23.0 / 12.2.30.0 | |
| V13(※1) | 13.0.24.0 / 13.1.16.0 / 13.1.21.0 / 13.2.18.0 | |
| V14(※1) | V14.0.22.0 / V14.2.10.0 / V14.2.19.0 / V14.2.24.0 | |
| V15 | V15.0.16.0 / V15.0.18.0 / V15.0.21.0 / V15.0.23.0 | |
◆ 脆弱性の情報
対象のプログラムには、インストーラーのローカル権限昇格の脆弱性が存在します。
【 参考 】
- [CA8268] Local privilege escalation vulnerabilities in installers for ESET products for Windows fixed
(リンクをクリックすると、ESET社のWebサイト(英語)が別ウインドウで開きます。)
- CVE-2021-37851
(リンクをクリックすると、CVEのWebサイト(英語)が別ウインドウで開きます。)
- CVE-2022-27167
(リンクをクリックすると、CVEのWebサイト(英語)が別ウインドウで開きます。)
◆ 想定される影響
< CVE-2021-37851 >
システムにログインしているユーザーがインストーラーの修復機能を悪用して、特権昇格攻撃を実行できます。これにより、より高い特権で悪意のあるコードを実行することができるようになります。
< CVE-2022-27167 >
[修復]および[削除](アンインストール)オプションに影響を与え、それを悪用すると、任意のファイルが削除される可能性があります。
◆ 対応方法
本脆弱性を修正したモジュールを公開しました。
脆弱性の対象となるプログラムをご利用中のお客さまは、修正モジュールを適用していただきますようお願いします。
【 修正モジュール 】
|
2022年3月31日 21時05分頃に公開された検出エンジン「25031(20220331)」以降が適用されていれば、本脆弱性は修正されています。
ヒント修正モジュールが含まれているプログラムを公開しました。新規でインストールする場合は、V15.1.12.0 以降 の最新プログラムをご利用ください。
最新プログラムをインストールする場合は、以下のWebページにて、Windows向けプログラムのダウンロードとインストール手順をご確認ください。
◆ サポートセンターへのお問い合わせ
お客さまにはご迷惑をお掛けしますことを、深くお詫び申し上げます。
[更新履歴]
2022年05月10日公開
- プログラム
- ESET Smart Security Premium, ESET Internet Security, ESET NOD32アンチウイルス
- プラットフォーム(OS)
- Windows
【 より良いサポート情報のご提供のため、アンケートにご協力ください! 】このQ&Aは役に立ちましたか?
関連Webサイト
|
|
|
 |
|
c Canon IT Solutions Inc.