CVE

CVE-2017-2157

発見者

吉田 英二（Eiji James Yoshida）
※ JVN#39605485には他の方の名前もありますが、別々に発見・届出したものになります。

脆弱なソフトウェア

• 公的個人認証サービス利用者クライアントソフトVer3.1（Windows7以降対応版）およびそれ以前のVer3系
• 公的個人認証サービス利用者クライアントソフト（Vista対応版）
• 公的個人認証サービス利用者クライアントソフトVer2.6およびそれ以前

脆弱性の概要

Windows版公的個人認証サービス利用者クライアントソフトのインストーラにはDLLを読み込む際の検索パスに関する処理に不備があり、意図しないDLLを読み込んでしまう脆弱性が存在します。

想定される影響

インストーラを実行している権限で、任意のコードを実行される可能性があります。

対策方法

最新のインストーラを使用してください。

謝辞

製品開発者への脆弱性の報告にご協力いただいたIPAおよびJPCERT/CCの方々に感謝いたします。

タイムライン

届出から公開までの日数: 110（90日以内の公開をお勧めします）

• 2017/01/19 IPAにソフトウエア製品脆弱性関連情報として届出
• 2017/01/20 脆弱性関連情報として受理
• 2017/05/09 JVN#39605485として公開