弊社製品におけるNSISインストーラに起因する DLL 読み込みに関する脆弱性

2021年3月5日お知らせ

■概要

この脆弱性により、インストール時にWindows上でDLLハイジャックによって任意のコードを実行される可能性があります。
ただし、本脆弱性を悪用するには、攻撃者が対象のコンピュータのユーザ権限を既に取得済であることが必要です。
2021年 3月 5日現在、弊社では本脆弱性を利用した攻撃は確認しておりません。

■該当製品、バージョン
E START アプリ:3.0.2.0 及びそれ以前のバージョン
E START アップデートセンター: 2.0.8.0 及びそれ以前のバージョン

■対応状況
2021年 3月 5日対策版公開済み

■対策方法
現在稼働中のアプリケーションについて対策は不要です。

■回避策
下記ページより最新バージョンのアプリをインストールしてください。
E START アプリ:https://service.estart.jp/app/index.html
E START アップデートセンター:https://service.estart.jp/update_center/

■参考情報
Windows アプリケーションによる DLL 読み込みやコマンド実行に関する問題
https://jvn.jp/ta/JVNTA91240916/index.html

■関連情報
JVN#68418039 GMOインサイト製の E START 製品のインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN68418039/

■更新履歴
2021年 3月 5日 公開