発見者
吉田 英二(Eiji James Yoshida)
脆弱なソフトウェア
- 弥生会計17シリーズ Ver.23.1.1 およびそれ以前
- やよいの青色申告17 Ver.23.1.1 およびそれ以前
- 弥生給与17 Ver.20.1.4 およびそれ以前
- やよいの給与計算17 Ver.20.1.4 およびそれ以前
- 弥生販売17シリーズ Ver.20.0.2 およびそれ以前
- やよいの顧客管理17 Ver.11.0.2 およびそれ以前
脆弱性の概要
弥生株式会社が提供する弥生17シリーズの複数の製品には、これらの製品に関連付けされたファイルを開く際に同一ディレクトリに存在する特定のDLLファイルを読み込んでしまう脆弱性が存在します。
想定される影響
弥生17シリーズを実行している権限で、任意のコードを実行される可能性があります。
対策方法
2016年12月と2017年1月に脆弱性情報を届出してからJVNでの公開までに540日以上経過していますが、製品開発者である弥生株式会社から2018年7月20日時点でも本脆弱性についての情報が公開されていない状況です。このようなことから対策としては、他社製品の使用について検討されるか、本脆弱性について弥生株式会社に問い合わせることをお勧めします。
タイムライン
- 届出から公開までの日数: 575(90日以内の公開をお勧めします)
- 2016/12/22 IPAにソフトウエア製品脆弱性関連情報として届出
- 2017/02/01 脆弱性関連情報として受理
- 2018/07/20 JVN#06813756として公開
- 届出から公開までの日数: 541(90日以内の公開をお勧めします)
- 2017/01/25 IPAにソフトウエア製品脆弱性関連情報として届出
- 2017/02/02 脆弱性関連情報として受理
- 2018/07/20 JVN#06813756として公開