後発ニュースのはずの株式会社タンクフルのSecurity NEXTがやっつけすぎる件
複数の住民基本台帳用 IC カードリーダライタに任意コード実行の脆弱性(JVN) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
| 「RW-5100 ドライバソフトインストーラ Windows 8.1 用 バージョン 1.0.1.0(RW5100V1.0.1.0_win8.exe)」など(別表参照)には、DLLを読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定のDLLを読み込んでしまう複数の脆弱性(CVE-2017-2189、CVE-2017-2190、CVE-2017-2191、CVE-2017-2192)が存在する。これらの脆弱性により、インストーラや動作確認ツールを実行している権限で任意のコードを実行される可能性がある |
こちらが、第一報のニュース
シャープ製の住民基本台帳用ICカードリーダーの関連ソフトに脆弱性 - 修正版の利用を
|
シャープ製の「住民基本台帳用ICカードリーダライタ」で使用する関連ソフトに脆弱性が含まれていることがわかった。 脆弱性情報のポータルサイトであるJVNによれば、「RW-4040」「RW-5100」において、「Windows これら脆弱性は、NTTコミュニケーションズの東内裕二氏が情報処理推進機構(IPA)へ報告したもので、JPCERTコーディネーションセンターが調整を実施した。最新のインストーラでは、脆弱性が修正されているという。 またインストール済みのドライバに関しては、今回明らかになった脆弱性の影響は受けないとしている。今回明らかとなった脆弱性は以下のとおり。 CVE-2017-2189 |
これができた記事 ・ω・ いろいろ違う
|
シャープ製の「住民基本台帳用ICカードリーダライタ」で使用する関連ソフトに脆弱性が含まれていることがわかった。 脆弱性情報のポータルサイトであるJVNによれば、「RW-4040」「RW-5100」において、「Windows この脆弱性は、NTTコミュニケーションズの東内裕二氏が情報処理推進機構(IPA)へ報告したもので、JPCERTコーディネーションセンターが調整を実施した。最新のインストーラでは、脆弱性が修正されているという。 またインストール時の脆弱性であるため済みのドライバに関しては、脆弱性の影響は受けない。今回明らかとなった脆弱性は以下のとおり。 CVE-2017-2189 |
4種類の脆弱性がある訳ではなく、CVEはアプリ毎に割り当てられてるのが分かってないという
なんで4つかと言うと、RW-4040 用インストーラー、RW-4040 用チェックツール、RW-5100 用インストーラー、RW-5100 用チェックツール の4本だからなんだよ ・ω・
WindowsのインストーラーのDLL読み込みの脆弱性、直したが嘘のケースもある?
そもそも、この脆弱性新しいインストーラーでも直ってないんだけどね・ω・
Translate
Comments