仕様チェックや届書印刷などのプログラムの古いインストーラに脆弱性があり、最新版の利用が呼び掛けられている。
日本年金機構が公開している複数のインストーラで脆弱性が報告された。情報処理推進機構とJPCERT コーディネーションセンターが運営するJVNサイトで12月1日、脆弱性に関する情報が公開され、最新版の利用がユーザーに呼び掛けられている。
JVNによると、脆弱性はDLLを読み込み時の検索パスに関する処理の不備に起因するもので、意図しないDLLを読み込んでしまう。仮に攻撃者が意図する場所に細工したDLLファイルが何らかの方法で置いておくと、インストーラを実行しているプロセスの権限で任意のコードを実行されてしまう恐れがある。
脆弱性の影響は、10月17日以前に公開されていた以下の4つのインストーラに及ぶ。
JVNでは、これらのプログラムを新規にインストールしたり、バージョンアップしたりする際には、日本年金機構のWebサイトから最新のインストーラを入手して使用することがアドバイスされている。
Copyright © ITmedia, Inc. All Rights Reserved.