公開日:2008/09/17 最終更新日:2015/07/16

JVNVU#837092
InstallShield および FLEXnet Connect の通信処理の問題によるスクリプト実行の脆弱性

概要

Acresso Software が提供する InstallShield および FLEXnet Connect には、ソフトウェアの更新確認などの通信処理に問題があります。結果として遠隔の第三者に任意のスクリプトを実行される可能性があります。

影響を受けるシステム

2008年9月17日現在、ベンダからの情報は確認できておりません。

詳細情報

Acresso Software が提供する InstallShield および FLEXnet Connect は、ソフトウェアのインストールやアップデートのサポートをするソフトウェアです。InstallShield および FLEXnet Connect には、ソフトウェアの更新確認などの通信処理に問題があります。結果として遠隔の第三者に任意のスクリプトを実行される可能性があります。

想定される影響

遠隔の第三者に任意のスクリプトを実行される可能性があります。

対策方法

解決策
アップデートする
FLEXnet Connect を最新版へアップデートしてください。
VU#837092 によると、FLEXnet Connect 11.0.1 client (agent.exe version 11.1.100.17104) にて問題が修正されたとのことです。
ただし、デフォルトの設定では問題を解決するための機能が有効になっていないため注意が必要です。

回避策
kill bit を設定して ActiveX コントロールを無効にする、スクリプトを無効にするなどの方法があります。

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
EKAKIN 該当製品無し 2011/09/28
Soft3304 該当製品無し 2015/07/03
Unicode版msearch 該当製品無し 2008/09/18
アライドテレシス株式会社 該当製品無し 2008/12/05
サイボウズ株式会社 該当製品無し(調査中) 2015/07/16
フェンリル株式会社 該当製品無し 2008/09/30
株式会社ACCESS 該当製品無し 2008/11/12

参考情報

  1. http://www.simplicity.net/vuln/CVE-2008-1093.txt
  2. US-CERT Vulnerability Note VU#837092
    InstallShield / Macrovision / Acresso FLEXnet Connect insecurely retrieves and executes scripts
  3. Microsoft Support Document 240797
    Internet Explorer で ActiveX コントロールの動作を停止する方法

JPCERT/CCからの補足情報

InstallShield や FLEXnet Connect の開発は現在 Acresso Software が行っています。

JPCERT/CCによる脆弱性分析結果

2008.09.17における脆弱性分析結果

評価尺度 攻撃成立条件 評価値
攻撃経路 インターネット経由からの攻撃が可能
認証レベル 匿名もしくは認証なしで攻撃が可能
攻撃成立に必要なユーザーの関与 ユーザが何もしなくても脆弱性が攻撃される可能性がある
攻撃の難易度 かなり高度な専門知識や運 (条件が揃う確率は低い) が必要

各項目の詳しい説明

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2008-1093
JVN iPedia JVNDB-2008-001731

更新履歴

2008/09/18
Unicode版msearchの JVNVU#837092への対応が更新されました。
2008/09/30
フェンリル株式会社の JVNVU#837092への対応が更新されました。
2008/10/01
対策方法を更新しました。
2008/10/01
対策方法を更新しました。
2008/10/02
対策方法を更新しました。
2008/10/02
対策方法を更新しました。
2008/10/02
対策方法を更新しました。
2008/10/02
対策方法を更新しました。
2008/10/02
対策方法を更新しました。
2008/10/02
対策方法を更新しました。
2008/10/02
対策方法を更新しました。
2008/11/12
株式会社ACCESSの JVNVU#837092への対応が更新されました。
2008/12/05
アライドテレシス株式会社の JVNVU#837092への対応が更新されました。
2009/06/26
関連文書に JVN iPedia へのリンクを追加しました。
2011/09/30
EKAKINの JVNVU#837092への対応が更新されました。
2015/07/03
Soft3304のベンダステータスが更新されました
2015/07/16
サイボウズ株式会社のベンダステータスが更新されました