インフォメーション

2017年09月12日
デジタルアーツ株式会社

「i-フィルター 6.0 インストール プログラム」および「i-フィルター 6.0 インストーラー」の脆弱性について

日頃より弊社製品「i-フィルター」に格別のご愛顧を賜り、厚く御礼申し上げます。

この度、外部からの指摘により「i-フィルター 6.0 インストール プログラム」および「i-フィルター 6.0 インストーラー」にDLL読み込みに関する脆弱性が存在することが判明いたしました。

すでにインストールされている「i-フィルター」に対しては影響がないものとなりますが、今後インストールされる場合は、最新版の「i-フィルター 6.0 インストール プログラム」をご利用いただくようお願い申し上げます。

脆弱性に該当する製品名およびバージョン
  • 「i-フィルター 6.0 インストール プログラム(if6installer.exe)」ファイルバージョン 1.0.8.1 およびそれ以前
  • 「i-フィルター 6.0 インストーラー(setup32.exe/setup64.exe)」デジタル署名の日付が2017年8月23日
    より古い日付となっている版
指摘があった脆弱性
  • 「i-フィルター 6.0 インストール プログラム」にはDLLを読み込む際の検索パスに問題があり、意図しないDLLを読み込んでしまう脆弱性が存在します。
  • 「i-フィルター 6.0 インストーラー」には実行ファイル呼び出しやDLLを読み込む際の検索パスに問題があり、意図しないDLLやEXEを読み込んでしまう脆弱性が存在します。
脆弱性によって発生しうる影響
  • 悪意のあるDLLファイルがあるフォルダーやデスクトップで「i-フィルター 6.0 インストール プログラム」を実行することで、悪意のあるファイルに含まれる任意のコードを実行させられる可能性があります。
  • 悪意のあるDLLファイルやEXEファイルがあるフォルダーやデスクトップで「i-フィルター 6.0 インストーラー」を実行することで、悪意のあるファイルに含まれる任意のコードを実行させられる可能性があります
脆弱性への対応方法
  • 修正した「i-フィルター 6.0 インストール プログラム」を配信しております。
    新たに「i-フィルター 6.0」をインストールする際は以下のダウンロードページへのリンクより最新版の「i-フィルター 6.0 インストールプログラム」をご使いください。本脆弱性に対応した「i-フィルター 6.0 インストール プログラム」はファイルバージョン 1.0.9.1となります。
  • 「i-フィルター 6.0 インストーラー」に関しましては、「i-フィルター 6.0 インストール プログラム」を通して間接的に利用されるものとなるため、ほとんどのお客様は「i-フィルター 6.0 インストーラー」を直接お使いにならないものとなります。
    お手元に「i-フィルター 6.0 インストーラー」をお持ちのお客様に関しましても、更新された「i-フィルター6.0 インストールプログラム」をご利用いただくようお願い申し上げます。
ダウンロードページへのリンク

「i-フィルター 6.0」インストールガイド

JVN へのリンクなど関連情報へのリンク

JVN#75929834 i-フィルター 6.0 のインストールプログラムおよびインストーラにおけるDLL読み込みや実行ファイル呼び出しに関する脆弱性

更新履歴

2017年09月12日 脆弱性情報を公開

2017年09月14日 JVN脆弱性レポートへのリンクを追加