PCのセットアップ自動化ツール「Boxstarter」に脆弱性 ～“JVN”が注意を喚起

“JVN”が公開した脆弱性レポート（JVNVU#90267651）

　脆弱性ポータルサイト“JVN”は10月23日（現地時間）、「Boxstarter」にDLL読み込みに関する脆弱性（CVE-2020-15264）が存在すると発表した。

　「Boxstarter」は、PCのセットアップを自動化するツール。簡単なスクリプトでパッケージ管理システム「Chocolatey」経由でアプリケーションをインストールしたり、OSの機能を有効化・無効化できる。PCをリセットしたり、OSを再インストールしたあとの環境構築作業を効率よく行うことができる。

　“JVN”が公開した脆弱性レポート（JVNVU#90267651）によると、「Boxstarter」v2.12.0およびそれ以前のバージョンは、セットアップ時にインストールフォルダーのアクセス権限が適切に設定されず、管理者権限のないユーザーでもDLLを配置できてしまう欠陥がある。このフォルダーにはシステム環境変数“PATH”にも追加されるため、悪意のあるファイルを読み込んでしまうとシステム権限で任意のコードが実行できてしまう可能性がある。

　開発元のChocolateyはこの脆弱性の深刻度を“high”と評価し、対策を施した最新版v2.13.0を公開中。できるだけ早い対処が望ましい。