Government

政府・自治体

2016.11.25 投稿者: ブログチーム

「e-Taxソフト」の脆弱性が発見され、公開を停止していたソフトを一部再開 – 国税庁(2)

「e-Taxソフト」の脆弱性が発見され、公開を停止していたソフトを一部再開 – 国税庁(2)

“「e-Taxソフト」に脆弱性が見つかった問題で、国税庁では同ソフトの公開を一時停止していたが、メンテナンスが終了したとして一部提供を再開した。
問題の脆弱性は、同ソフトのインストーラーにおいて、検索パスの指定に問題があり、細工されたライブラリファイルを読み込むおそれがある「CVE-2016-4901」。脆弱性が悪用された場合、任意のコードを実行されるおそれがある。”
(経済産業省ニュースリリース2016年10月21日より抜粋)

 e-Taxソフトの他にも、10月19日には、Windows版「Evernote」のインストーラに脆弱性が含まれていることが公表されています。すでに修正版が公開されていますが、不正なライブラリファイルを読み込む可能性がある脆弱性「CVE-2016-4900」が存在するということで、本ニュースのe-Taxと同様の脆弱性でした。

 この脆弱性が悪用されると、ユーザーが管理者権限でログインしている場合、攻撃者は該当するパソコンをコントロールできてしまうことになります。プログラムのインストール、データの表示、変更、削除、完全な権限を持つ管理者アカウントをもうひとつ作成したりする可能性もあるのです。

 このように、場合によっては非常にハイリスクな脆弱性だと言えます。

 いずれにしても、プログラムのインストーラには、このような脆弱性がひそんでいることが、ままあるということを肝に銘じておく必要があります。通常は、インストールやバージョンアップをする際には、最新のインストーラを使うことがリスク回避の対策となります。

 

法的免責事項
本WEBマガジンへ情報の掲載をする個人(管理人を含む)は、アライドテレシスの社員である場合がございます。本WEBサイト上のコメント及び意見については、あくまで投稿者の個人的な意見であり、当社の意見ではありません。本WEBマガジンは情報の提供のみを目的としており、アライドテレシスや他の関係者による推奨や表明を目的としてはおりません。各利用者は、本WEBマガジンの利用に関するあらゆる責任から、アライドテレシスを免責することに同意したものとします。
Page Top