ニュース

セキュリティソフト「ESET」シリーズに脆弱性 ~更新プログラムが公開

引用符で囲まれていないパスの処理に起因

同社のアナウンス

 キヤノンITソリューションズ(株)は2月1日、セキュリティソフト「ESET」シリーズで脆弱性(CVE-2023-7043)の報告があることを明らかにした。対策済みバージョンへのアップデートが必要だ。

 本脆弱性は、引用符で囲まれていないパスに起因した権限に関するもの。準備されたプログラムがディスク上の特定の場所に配置されていると、サービスを実行しているユーザーの権限セット(NT AUTHORITYNetworkService)で起動時に実行してしまう可能性があるという。CVSS v3.1の基本値は「3.3」と評価されており、以下のプログラムに影響する。

  • ESET Smart Security Premium v16.1.14.0/16.2.13.0/16.2.15.0
  • ESET Internet Security v16.1.14.0/16.2.13.0/16.2.15.0
  • ESET NOD32アンチウイルス v16.1.14.0/16.2.13.0/16.2.15.0

 個人向けの場合、「ESET HOME セキュリティ」や「ESET インターネット セキュリティ まるごと安心パック」が該当する。また、法人向けクライアント専用製品「ESET NOD32アンチウイルス」にも影響する。

 同社はこの問題を11月21日にリリースしたv17.0.15.0で修正している。自動更新を有効化していれば、案内に従うだけでバージョンアップを完了できる。

 なお、この問題は「ESET」プログラムをバージョンアップした直後にのみ影響する。通常の製品利用時や新規インストール時には発生しないとのこと。