みんなのセキュリティ＠歓作人で、あなたのPC、HP、ブログを守る

7-Zip for Windows は、結構、多くの方が利用中ではないでしょうか。

次のような不具合があることがわかり、情報公開されました。

任意のコードを実行される可能性があるそうです。

要注意、要注意！

「7-Zip for Windows」のインストーラにおける DLL 読み込みに関する脆弱性
============================================================================
■  IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび JPCERT/CC
  （一般社団法人JPCERTコーディネーションセンター）は、2016 年 10 月 26 日に
  「『7-Zip for Windows』のインストーラにおける DLL 読み込みに関する脆弱性」
  を、JVN (Japan Vulnerability Notes)において公表しました。

  ◆概要
   ・「7-Zip for Windows」は、オープンソースの圧縮・展開ソフトウェアです。

   ・「7-Zip for Windows」のインストーラには、DLL を読み込む際の検索パスに問
     題があり、意図しない DLL を読み込んでしまう脆弱性が存在します。

   ・インストーラを実行している権限で、任意のコードを実行される可能性があり
     ます。

   ・開発者が提供する情報をもとに、最新のインストーラを使用してください。
     開発者によると、本脆弱性は「7-Zip for Windows 16.03」で修正済とのことで
     す。
     
  ◆この脆弱性情報は、2016 年 4 月 12 日に IPA が届出を受け、JPCERT/CC が、
    製品開発者と調整を行ない、本日公表したものです。

  ◆詳細については、こちらをご覧ください
  ・「7-Zip for Windows」のインストーラにおける任意の DLL 読み込みに関する脆
    弱性
    URL：https://jvn.jp/jp/JVN76780067/index.html
    ※もしくは、https://jvn.jp/jp/ から「JVN#76780067」を参照

----------------------------------------------------------------------------
  2015 年 12 月 1 日より、共通脆弱性評価システム CVSS v3 による評価を開始
  しました。脆弱性対策情報に記載する「CVSS による深刻度」において、CVSS v2 
  と併記されます。
  URL：https://www.ipa.go.jp/security/vuln/SeverityLevel3.html

IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび JPCERT/CC
  （一般社団法人JPCERTコーディネーションセンター）は、2016 年 10 月 20 日に
  「WordPress 用プラグイン『WP-OliveCart』における複数の脆弱性」を、JVN
  （Japan Vulnerability Notes）において公表しました。

  ◆概要
   ・オリーブデザインが提供する「WP-OliveCart」は、ショッピングサイトを構築
     するための WordPress 用プラグインです。

   ・「WP-OliveCart」には、次の複数の脆弱性が存在します。
     ▽ クロスサイト・スクリプティング - CVE-2016-4903
     ▽ クロスサイト・リクエスト・フォージェリ - CVE-2016-4904
     ▽ SQL インジェクション - CVE-2016-4905

   ・ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。
     (CVE-2016-4903)

   ・ユーザの意図しない操作を実行される可能性があります。(CVE-2016-4904)

   ・データベース内の情報を取得されたり改ざんされたりする可能性があります。
     (CVE-2016-4905)

   ・開発者が提供する情報をもとに、最新版へアップデートしてください。

  ◆この脆弱性情報は、2016 年 5 月 31 日に IPA が届出を受け、JPCERT/CC が、
    製品開発者と調整を行ない、本日公表したものです。

この情報は。古典的なミスですが、

クロスサイト・スクリプティングは、どこにでもあるセキュリティホールです。

開発時には、細心の注意を払いましょう。

大変なことになっております。

「e-Taxソフト」のインストーラにおける DLL 読み込みに関する脆弱性 

■  IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび JPCERT/CC
  （一般社団法人JPCERTコーディネーションセンター）は、2016 年 10 月 18 日に
  「『e-Taxソフト』のインストーラにおける DLL 読み込みに関する脆弱性」を、
  JVN (Japan Vulnerability Notes)において公表しました。

  ◆概要
   ・国税庁が提供する「e-Taxソフト」は、国税に関する申告等を行うソフトウェア
     です。

   ・「e-Taxソフト」のインストーラには、DLL を読み込む際の検索パスに関する処
     理に不備があり、意図しない DLL を読み込んでしまう脆弱性が存在します。

   ・次の条件を満たす場合に脆弱性が悪用されます。脆弱性が悪用された場合、イ
     ンストーラを実行しているプロセスの権限で任意のコードを実行される可能性
     があります。
     - 攻撃者の意図する場所に、細工された DLL ファイルが何らか方法で配置され
       ている

   ・本脆弱性の影響を受けるのはインストーラの起動時のみのため、既存のユーザ
     は本脆弱性の影響を受けません。
     2016 年 10 月 18 日現在、対策方法はありません。「e-Taxソフト」のインス
     トーラを実行しないでください。
     
  ◆この脆弱性情報は、2016 年 10 月 12 日に IPA が届出を受け、JPCERT/CC が、
    製品開発者と調整を行ない、本日公表したものです。

ということで、

     2016 年 10 月 19日現在、対策方法はありません。

　　新規ユーザーは、「e-Taxソフト」のインストーラを実行しないでください。

　　既存ユーザーは影響なしです。