弊社製品におけるNSISインストーラに起因する DLL 読み込みに関する脆弱性

■概要

この脆弱性により、インストール時にWindows上でDLLハイジャックによって任意のコードを実行される可能性があります。 ただし、本脆弱性を悪用するには、攻撃者が対象のコンピュータのユーザ権限を既に取得済であることが必要です。 2021年 3月 5日現在、弊社では本脆弱性を利用した攻撃は確認しておりません。

■該当製品、バージョン E START アプリ：3.0.2.0 及びそれ以前のバージョン E START アップデートセンター： 2.0.8.0 及びそれ以前のバージョン

■対応状況 2021年 3月 5日対策版公開済み

■対策方法 現在稼働中のアプリケーションについて対策は不要です。

■回避策 下記ページより最新バージョンのアプリをインストールしてください。 E START アプリ：https://service.estart.jp/app/index.html E START アップデートセンター：https://service.estart.jp/update_center/

■参考情報 Windows アプリケーションによる DLL 読み込みやコマンド実行に関する問題 https://jvn.jp/ta/JVNTA91240916/index.html

■関連情報 JVN#68418039 GMOインサイト製の E START 製品のインストーラにおける DLL 読み込みに関する脆弱性 https://jvn.jp/jp/JVN68418039/

■更新履歴 2021年 3月 5日 公開