ニュース

「InstallShield」で作成されたインストーラーに脆弱性 ~“JVN”が注意を喚起

悪意のあるDLLを誤って読み込んでしまう可能性。任意コードの実行につながることも

“JVN”が公開した脆弱性レポート(JVNVU#91648232)

 脆弱性ポータルサイト“JVN”は10月14日(現地時間)、「InstallShield」によって生成されたインストーラーにDLL読み込みに関する脆弱性(CVE-2016-2542)が存在すると発表した。

 「InstallShield」は、Flexera Software社(2020年にReveneraと改称。Flexeraブランドを継続)が提供するインストーラー作成ツール。20年以上もの歴史を有する老舗のソフトで、さまざまなソフトで採用されている。

 “JVN”が公開した脆弱性レポート(JVNVU#91648232)によると、「Flexera InstallShield 2015 SP1」およびそれ以前のバージョンと、「InstallShield」によって生成されたインストーラーが組み込まれた他社製品にはDLL読み込む際の検索パスに問題があり、セットアップファイルを実行する作業ディレクトリに置かれた悪意のあるDLLを読み込んでしまう可能性がある。最悪の場合、インストーラを実行している権限で任意のコードを実行されてしまう。脆弱性の深刻度は“CVSS v3”の基本値で“7.3”と評価されている。

 開発元は、この問題に関するアドバイザリと修正プログラムを公開済み。案内に従って対策を施す必要がある。