富士ゼロックス、複数の製品にDLL読込みの脆弱性を確認

  • 元記事:弊社提供ソフトウェアにおけるDLL読込みに関する脆弱性について
  • HP:富士ゼロックス
  • 発表日時 2017/8/31

    富士ゼロックスの複数の製品にDLL読込みの脆弱性が確認された。影響を受けるのはDocuWorks 8.0.7とそれ以前のインストーラー、DocuWorks 8.0.7 とそれ以前に生成された自己解凍文書、登録日が2017年4月12日以前のApeosPort-VI C7771/C6671/C5571/C4471/C3371/C2271、DocuCentre-VI C7771/C6671/C5571/C4471/C3371/C2271 向け ART EX ドライバーのインストーラー、ContentsBridge Utility for Windowsインストールパッケージ7.4.0 とそれ以前のインストーラーで、DLL 読み込みや自己解凍文書の実行の際の検索パスの問題により、意図しない DLL を読み込む脆弱性が存在する。これらの脆弱性が悪用されると、インストーラーの起動時に管理者権限で任意のコードを実行されたり、DocuWorks自己解凍文書を実行したユーザ権限で任意のコードを実行される恐れがある。解決策として、DocuWorks 8.0.8新規/アップグレードインストーラ (32bit/64bit版)、DocuWorks 8.0.8 アップデートインストーラ(32bit/64bit版)、DocuWorks 8.0.7 Viewer Light インストーラ 登録日2017年8月以降のパッケージ、DocuWorks 8.0.8 新規/アップグレードインストーラ(32bit/64bit版)、DocuWorks 8.0.8 アップデートインストーラ(32bit/64bit版)、DocuWorks 7 Hotfix、ART-EXドライバー 登録日2017年8月以降のパッケージ、 PostScript ドライバー 登録日2017年8月以降のパッケージ、XPS対応ドライバー 登録日2017年8月以降のパッケージ、ART EXダイレクトファクスドライバー 登録日2017年8月以降のパッケージ、設定復元ツール 登録日2017年8月以降のパッケージ、ContentsBridge Utility for Windows 7.5.0以降(cbuj750.exe)が公開されており、アップデートによりこの脆弱性の影響を受けない。