年金機構のインストーラに脆弱性、最新版の利用を

仕様チェックや届書印刷などのプログラムの古いインストーラに脆弱性があり、最新版の利用が呼び掛けられている。

[ITmedia]

　日本年金機構が公開している複数のインストーラで脆弱性が報告された。情報処理推進機構とJPCERT コーディネーションセンターが運営するJVNサイトで12月1日、脆弱性に関する情報が公開され、最新版の利用がユーザーに呼び掛けられている。

　JVNによると、脆弱性はDLLを読み込み時の検索パスに関する処理の不備に起因するもので、意図しないDLLを読み込んでしまう。仮に攻撃者が意図する場所に細工したDLLファイルが何らかの方法で置いておくと、インストーラを実行しているプロセスの権限で任意のコードを実行されてしまう恐れがある。

　脆弱性の影響は、10月17日以前に公開されていた以下の4つのインストーラに及ぶ。

• 仕様チェックプログラム(社会保険) Ver. 9.00およびそれ以前
• 届書印刷プログラム Ver. 5.00およびそれ以前
• 媒体データパスワード設定プログラム Ver. 1.00およびそれ以前
• 届書作成プログラム Ver. 15.00およびそれ以前

　JVNでは、これらのプログラムを新規にインストールしたり、バージョンアップしたりする際には、日本年金機構のWebサイトから最新のインストーラを入手して使用することがアドバイスされている。

JPCERT コーディネーションセンターが実施した脆弱性の分析結果