大変なことになっております。
「e-Taxソフト」のインストーラにおける DLL 読み込みに関する脆弱性
■ IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび JPCERT/CC
(一般社団法人JPCERTコーディネーションセンター)は、2016 年 10 月 18 日に
「『e-Taxソフト』のインストーラにおける DLL 読み込みに関する脆弱性」を、
JVN (Japan Vulnerability Notes)において公表しました。
◆概要
・国税庁が提供する「e-Taxソフト」は、国税に関する申告等を行うソフトウェア
です。
・「e-Taxソフト」のインストーラには、DLL を読み込む際の検索パスに関する処
理に不備があり、意図しない DLL を読み込んでしまう脆弱性が存在します。
・次の条件を満たす場合に脆弱性が悪用されます。脆弱性が悪用された場合、イ
ンストーラを実行しているプロセスの権限で任意のコードを実行される可能性
があります。
- 攻撃者の意図する場所に、細工された DLL ファイルが何らか方法で配置され
ている
・本脆弱性の影響を受けるのはインストーラの起動時のみのため、既存のユーザ
は本脆弱性の影響を受けません。
2016 年 10 月 18 日現在、対策方法はありません。「e-Taxソフト」のインス
トーラを実行しないでください。
◆この脆弱性情報は、2016 年 10 月 12 日に IPA が届出を受け、JPCERT/CC が、
製品開発者と調整を行ない、本日公表したものです。
ということで、
2016 年 10 月 19日現在、対策方法はありません。
新規ユーザーは、「e-Taxソフト」のインストーラを実行しないでください。
既存ユーザーは影響なしです。