JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は12月18日(米国時間)、「JVN#94244575: 複数のセイコーエプソン製品で作成された自己解凍形式ファイルにおける DLL 読み込みに関する脆弱性」において、セイコーエプソンが提供する複数のソフトウェア製品に脆弱性が発見されたと伝た。この脆弱性を攻撃者に悪用されると、悪意をもって加工されたDLLファイルを読み込んで実行させられる危険性があるという。
該当の脆弱性に関する情報は、開発元による次のページにまとめられている。
対象となるソフトウェアおよびバージョンは次のとおり。
- EpsonNet SetupManager 2.2.14以前
- Offirio SynergyWare PrintDirector 1.6xおよび1.6y以前
上記のソフトウェアによって作成された自己解凍形式ファイルには、DLLファイルを読み込む際に同一フォルダに存在する特定のDLLファイルを読み込んでしまう脆弱性が含まれているという。もし自己解凍形式ファイルの実行時に同じフォルダに悪意のあるDLLファイルが存在した場合、そのファイルを読み込んで実行させられるおそれがあるとのことだ。
-
エプソン製ソフトウェアで作成した自己解凍形式ファイルのDLL読み込みに関する脆弱性について
この問題は、次のバージョンにアップデートすることで回避できる。
- EpsonNet SetupManager 2.2.15
- Offirio SynergyWare PrintDirector 1.6.1.1および1.6.1.2
またエプソンでは、対策前のバージョンで作成した自己解凍形式ファイルを実行しないように呼びかけている。もし、やむを得ずに利用する場合は、対象の自己解凍形式ファイルと同じフォルダにほかのファイルがないことを確認した上で実行することでリスクを軽減できるとのことだ。
