ニュース
「CLIP STUDIO PAINT」などセルシス製品のインストーラーに脆弱性 ~最新版の利用を
インストーラーがDLLを読み込む際の検索パスに問題、任意のコードを実行される恐れ
2018年4月27日 14:17
脆弱性ポータルサイト“JVN”は27日、「CLIP STUDIO PAINT」をはじめとする複数のセルシス製品に脆弱性が存在することを明らかにした。インストーラーがDLLを読み込む際の検索パスに問題があり、同一フォルダーに存在するDLLを誤って読み込んでしまう可能性があるという。最悪の場合、インストーラーを実行している権限で任意のコードを実行されてしまう恐れがある。
“JVN”が公開した脆弱性レポート(JVN#68345747)によると、本脆弱性(CVE-2018-0580)は以下の製品に影響する。脆弱性の深刻度は“CVSS v3”で基本値“7.8”、“CVSS v2”で基本値“6.8”。
- CLIP STUDIO PAINT(Windows 版)EX/PRO/DEBUT Ver.1.7.3 およびそれ以前
- CLIP STUDIO ACTION(Windows 版)Ver.1.5.5 およびそれ以前(デジタル署名のタイムスタンプが 2018年4月25日 12:11:31 より前の版)
- CLIP STUDIO MODELER(Windows 版)Ver.1.6.3 およびそれ以前(デジタル署名のタイムスタンプが 2018年4月25日 17:02:49 より前の版)
なお、本脆弱性が影響するのはインストーラーを起動しているときのみ。インストール済みの環境に異常がない場合は、ユーザー側による対応は必要ない。これらの製品に限らず、アプリケーションをインストールする場合は信頼できる場所から取得した最新版のものを用い、同じフォルダーに不審なファイルがないことを確認したい。
編集部追記:セルシス社によると、本脆弱性は26日公開の最新版で修正済みとのこと。