JVN#42527152: FFRI yarai および FFRI yarai Home and Business Edition における例外条件の不適切な処理の脆弱性

株式会社ＦＦＲＩセキュリティが提供する FFRI yarai および FFRI yarai Home and Business Edition、その OEM 製品には、例外条件の不適切な処理の脆弱性が存在します。

FFRI yarai バージョン 3.4.0 から 3.4.6、3.5.0
FFRI yarai Home and Business Edition バージョン 1.4.0

FFRI yarai または FFRI yarai Home and Business Edition の OEM 製品である、次の製品も本脆弱性の影響を受けます。

株式会社ソリトンシステムズ
- InfoTrace Mark II マルウェア防御（Mark II Zerona）バージョン 3.0.1 から 3.2.2
- Zerona / Zerona PLUS マルウェア対策バージョン 3.2.32 から 3.2.36
日本電気株式会社
- ActSecure χ バージョン 3.4.0 から 3.4.6、3.5.0
ソースネクスト株式会社
- 二重の安心 Powered by FFRI yarai バージョン 1.4.1
Ｓｋｙ株式会社
- EDRプラスパック (同梱する FFRI yarai バージョン 3.4.0 から 3.4.6、3.5.0)
- EDRプラスパックCloud (同梱する FFRI yarai バージョン 3.4.0 から 3.4.6、3.5.0)

株式会社ＦＦＲＩセキュリティが提供する FFRI yarai および FFRI yarai Home and Business Edition には、例外条件の不適切な処理 (CWE-703) の脆弱性が存在します。
Windows Defender 連携機能を有効にしている環境において、特定の条件を満たしたファイルを Microsoft Defender が脅威として検知した場合、当該製品が適切に処理できずにサービス運用妨害 (DoS) 状態となる可能性があります。

当該製品が本来の動作を停止し、監視機能が最大で 15分間停止するサービス運用妨害 (DoS) 状態が発生する可能性があります。
なお、当該製品がサービス運用妨害 (DoS) 状態となった場合でも Microsoft Defender 自体は無効化されません。

また開発者によると、サービス運用妨害 (DoS) 状態となった場合、次のいずれかの方法で復旧可能とのことです。

当該製品が動作する端末を再起動する
最大 15分経過後に自動的に復旧するのを待つ

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
各製品において、本脆弱性を修正した次のバージョンがリリースされています。

株式会社ＦＦＲＩセキュリティ
- FFRI yarai バージョン 3.4.7 または 3.5.3
- FFRI yarai Home and Business Edition バージョン 1.4.2
株式会社ソリトンシステムズ
- InfoTrace Mark II マルウェア防御（Mark II Zerona）バージョン 3.2.4
日本電気株式会社
- ActSecure χ バージョン 3.5.3
ソースネクスト株式会社
- 二重の安心 Powered by FFRI yarai 1.4.2
Ｓｋｙ株式会社
- EDRプラスパック (同梱する FFRI yarai バージョン 3.4.7 または 3.5.3)
- EDRプラスパックCloud (同梱する FFRI yarai バージョン 3.4.7 または 3.5.3)

ワークアラウンドを実施する
次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

Windows Defender 連携機能を無効にする

詳しくは、開発者が提供する情報を確認してください。

ベンダ	リンク
株式会社ＦＦＲＩセキュリティ	【重要】製品の脆弱性対応
株式会社ソリトンシステムズ	【重要】Zerona 特定条件下で(マルウェア防御/マルウェア対策)機能が一時停止する脆弱性について
日本電気株式会社	【FFRI】【重要】ActSecureχクライアントにおける例外条件の不適切な処理の脆弱性 (要ログイン)
ソースネクスト株式会社	「二重の安心 Powered by FFRI yarai」の脆弱性と修正完了に関するお知らせ
Ｓｋｙ株式会社	『EDRプラスパック』および『EDRプラスパックCloud』に同梱しているFFRI yaraiの脆弱性（CVE-2023-39341）

CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L

基本値: 4.3

攻撃元区分(AV)	物理 (P)	ローカル (L)	隣接 (A)	ネットワーク (N)
攻撃条件の複雑さ(AC)	高 (H)	低 (L)
必要な特権レベル(PR)	高 (H)	低 (L)	不要 (N)
ユーザ関与レベル(UI)	要 (R)	不要 (N)
スコープ(S)	変更なし (U)	変更あり (C)
機密性への影響(C)	なし (N)	低 (L)	高 (H)
完全性への影響(I)	なし (N)	低 (L)	高 (H)
可用性への影響(A)	なし (N)	低 (L)	高 (H)

CVSS v2 AV:N/AC:M/Au:N/C:N/I:N/A:P

基本値: 4.3

攻撃元区分(AV)	ローカル (L)	隣接 (A)	ネットワーク (N)
攻撃条件の複雑さ(AC)	高 (H)	中 (M)	低 (L)
攻撃前の認証要否(Au)	複数 (M)	単一 (S)	不要 (N)
機密性への影響(C)	なし (N)	部分的 (P)	全面的 (C)
完全性への影響(I)	なし (N)	部分的 (P)	全面的 (C)
可用性への影響(A)	なし (N)	部分的 (P)	全面的 (C)

分析結果のコメント

ユーザが Windows Defender 連携機能を有効にしている状況を想定して評価しています。また、ユーザが何らかのファイルを開く操作をトリガーとして脅威が検出されるところから UI:R と評価しています。

この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE	CVE-2023-39341
JVN iPedia	JVNDB-2023-000080

2023/08/31: [対策方法] を更新しました

JVN#42527152 FFRI yarai および FFRI yarai Home and Business Edition における例外条件の不適切な処理の脆弱性

分析結果のコメント

JVN#42527152
FFRI yarai および FFRI yarai Home and Business Edition における例外条件の不適切な処理の脆弱性