セキュリティソフト「ESET」シリーズにローカル特権昇格の脆弱性 ～修正パッチが公開

同社のアナウンス

　キヤノンITソリューションズ（株）は8月22日、セキュリティソフト「ESET」シリーズで脆弱性（CVE-2023-3160）の報告があることを明らかにした。対策済みバージョンへのアップデートが必要だ。

　この脆弱性はローカル特権昇格に分類されており、悪用が成功すると、十分な権限がないにもかかわらず任意のファイルを削除または移動できてしまう。「ESET」のGUIを悪用して他の攻撃に必要なファイルを特定のフォルダーに仕込んだり、「ESET」のアップデーターコンポーネントで悪意あるファイル操作が行われたりする可能性がある。

　ただし、この攻撃を成立させるにはローカル環境へアクセスできる権限が必要。CVSS v3.1の基本値は「7.8」と評価されている。影響する製品は以下の通り。

• ESET Smart Security Premium
• ESET Internet Security
• ESET オフィスセキュリティ
• ESET NOD32アンチウイルス

　個人向けの場合、「ESET インターネット セキュリティ」（まるごと安心パックを含む）や「ESET スマート セキュリティ プレミアム」が該当する。

　同社は「HIPSサポート機能」モジュールを「1463」にアップデートし、「ESET」がインストールされた環境へ配布済み。6月26日からプレリリースユーザーへ、6月28日から一般ユーザーへ配信を開始し、7月5日にフルリリースを完了しているとのこと。「ESET」の自動更新機能が有効になっているならば、対策済みバージョンになっているはずだ。

「HIPSサポート機能」モジュールが「1463」以降になっていることを確認

　なお、新規にインストールする場合は、「www.eset.com」などから最新のインストーラーを利用することが推奨されている。ローカルに保存している古いインストーラーを使いまわしたりしないようにしたい。