Windows版「ESET」シリーズにDLLサーチオーダーハイジャッキングの脆弱性

同社のセキュリティアドバイザリー

　キヤノンITソリューションズ（株）は4月7日、セキュリティソフト「ESET」シリーズのWindows向けクライアント用プログラムで新たな脆弱性（CVE-2024-11859）が発見されたことを明らかにした。対策済みバージョンへのアップデートが必要だ。

　本脆弱性はKasperskyの研究者によって報告されたもので、DLLサーチオーダーハイジャッキングと呼ばれるカテゴリーに属する。攻撃者が特定のパスに悪意あるDLLを配置できる場合に、「ESET」コマンドラインスキャナーを実行した際に植え付けられたDLLが実行されてしまう可能性があるという。ただし、この攻撃を成立させるには攻撃者がすでに管理者権限を奪取している必要がある。

　「CVSS 4.0」の基本値は「6.8」（Medium）。以下の製品が対象となっている。

• 個人向け製品
  　►ESET HOME セキュリティ アルティメット
  　►ESET HOME セキュリティ プレミアム
  　►ESET HOME セキュリティ エッセンシャル
  　►ESET インターネット セキュリティ まるごと安心パック
  　►ESET スマート セキュリティ プレミアム（旧製品）
  　►ESET インターネット セキュリティ（旧製品）
• SOHO向け製品
  　►ESET スモール ビジネス セキュリティ
  　►ESET NOD32アンチウイルス

　v17.0/v17.1/v17.2/v18.0に影響し、「ESET」プログラムv18.1.10.0以降へのアップデートが必要だ。