2017年09月12日
デジタルアーツ株式会社
「i-フィルター 6.0 インストール プログラム」および「i-フィルター 6.0 インストーラー」の脆弱性について
日頃より弊社製品「i-フィルター」に格別のご愛顧を賜り、厚く御礼申し上げます。
この度、外部からの指摘により「i-フィルター 6.0 インストール プログラム」および「i-フィルター 6.0 インストーラー」にDLL読み込みに関する脆弱性が存在することが判明いたしました。
すでにインストールされている「i-フィルター」に対しては影響がないものとなりますが、今後インストールされる場合は、最新版の「i-フィルター 6.0 インストール プログラム」をご利用いただくようお願い申し上げます。
脆弱性に該当する製品名およびバージョン
- 「i-フィルター 6.0 インストール プログラム(if6installer.exe)」ファイルバージョン 1.0.8.1 およびそれ以前
- 「i-フィルター 6.0 インストーラー(setup32.exe/setup64.exe)」デジタル署名の日付が2017年8月23日
より古い日付となっている版
指摘があった脆弱性
- 「i-フィルター 6.0 インストール プログラム」にはDLLを読み込む際の検索パスに問題があり、意図しないDLLを読み込んでしまう脆弱性が存在します。
- 「i-フィルター 6.0 インストーラー」には実行ファイル呼び出しやDLLを読み込む際の検索パスに問題があり、意図しないDLLやEXEを読み込んでしまう脆弱性が存在します。
脆弱性によって発生しうる影響
- 悪意のあるDLLファイルがあるフォルダーやデスクトップで「i-フィルター 6.0 インストール プログラム」を実行することで、悪意のあるファイルに含まれる任意のコードを実行させられる可能性があります。
- 悪意のあるDLLファイルやEXEファイルがあるフォルダーやデスクトップで「i-フィルター 6.0 インストーラー」を実行することで、悪意のあるファイルに含まれる任意のコードを実行させられる可能性があります
脆弱性への対応方法
- 修正した「i-フィルター 6.0 インストール プログラム」を配信しております。
新たに「i-フィルター 6.0」をインストールする際は以下のダウンロードページへのリンクより最新版の「i-フィルター 6.0 インストールプログラム」をご使いください。本脆弱性に対応した「i-フィルター 6.0 インストール プログラム」はファイルバージョン 1.0.9.1となります。 - 「i-フィルター 6.0 インストーラー」に関しましては、「i-フィルター 6.0 インストール プログラム」を通して間接的に利用されるものとなるため、ほとんどのお客様は「i-フィルター 6.0 インストーラー」を直接お使いにならないものとなります。
お手元に「i-フィルター 6.0 インストーラー」をお持ちのお客様に関しましても、更新された「i-フィルター6.0 インストールプログラム」をご利用いただくようお願い申し上げます。
ダウンロードページへのリンク
JVN へのリンクなど関連情報へのリンク
JVN#75929834 i-フィルター 6.0 のインストールプログラムおよびインストーラにおけるDLL読み込みや実行ファイル呼び出しに関する脆弱性
更新履歴
2017年09月12日 脆弱性情報を公開
2017年09月14日 JVN脆弱性レポートへのリンクを追加