Panda Securityの無償ウイルス対策製品「ActiveScan」に任意のコード実行につながる脆弱性が見つかり、アップデートの適用を呼び掛けた。
情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は2月12日、Panda Securityの無償ウイルス対策製品「ActiveScan」に脆弱性が見つかったとしてJVNに対策などの情報を公開した。
それによると、Panda ActiveScanのインストーラコンポーネントにはダウンロードされたソフトウェアコンポーネントのデジタル署名を検証しない問題が存在する。細工されたHTMLを読み込むことで、第三者がユーザー権限で任意のコードを実行できてしまう可能性があるという。
影響を受けるのはas2stubie.dll 1.3.3.0以前のバージョンで、提供元のPandaは問題に対処したas2stubie.dll 1.3.3.0を公開し、アップデートするよう呼び掛けた。またIPAとJPCERT/CCは、マイクロソフトが日本時間10日に公開した月例セキュリティ情報の「MS10-008」を適用することでも、この問題を回避できると紹介している。
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
Copyright © ITmedia, Inc. All Rights Reserved.