株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら
閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

自分で調べる

LAC WATCH
2021年01月15日 | 注意喚起

【注意喚起】「SKYSEA Client View」インストーラに脆弱性(CVE-2021-20616)、最新版の利用を

LAC Advisory No.130

セキュリティ診断センターの熊丸です。

SKYSEA Client Viewは、Sky株式会社の提供する製品でIT資産管理に必要となる機能を標準で搭載したオールインワンのIT資産管理ツールです。利用者は非常に多く、2020年9月時点で約1万6千以上のユーザに利用されています。

今回、私の方で「SKYSEA Client View」インストーラにDLL読み込みに関する脆弱性を発見したため、IPAに届出を行いました。

この脆弱性が悪用されると、インストーラを実行している権限で、任意のコードを実行される可能性があります。

そして、この度Sky社によるインストーラの修正が完了し、脆弱性対策情報ポータルサイト「JVN」にて公開されました。「SKYSEA Client View」導入企業の情報システム管理者、および利用者の方が新たにソフトウェアをインストールする際には、最新版のインストーラを利用してください。

なお、本脆弱性の影響を受けるのはインストーラの起動時(当該製品のインストールおよびアンインストール時)のみです。すでに製品をインストールしている場合、再インストールする必要はありません。

また、Ver.13.000.11oより前のバージョンについては、保守期間が終了しており対策は提供されないため、最新版のインストーラを使用ください。

影響を受けるシステム

SKYSEA Client View Ver.1.020.05b から Ver.16.001.01g まで

詳細情報

SKYSEA Client Viewインストーラには、DLLを読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定のDLLを読み込んでしまう脆弱性が存在しました。

画像は、細工したDLLを同一ディレクトリに配置した状態でSKYSEA Client Viewインストーラを起動した際の様子です。SKYSEA Client Viewインストーラが起動する際に、細工したDLLを読み込んだことでメッセージボックスが表示されました。これは、利用者が意図していないにもかかわらず、メッセージボックスを不正に表示させられたことを示します。

SKYSEA Client Viewインストーラでメッセージボックスが不正に表示されている様子
メッセージボックスが不正に表示されている様子

対策方法

開発者が提供する情報をもとに、最新版のインストーラを使用ください。

【重要】DLLプリロードの脆弱性に関する注意喚起(CVE-2021-20616)|Sky株式会社

公表までの経緯

本問題は、情報セキュリティ早期警戒パートナーシップに基づき、ラックからIPAに報告し、JPCERT/CCにより開発者との調整が行われました。

JVN#69635538
JVNDB-2021-000003

CVE番号

CVE-2021-20616

この記事は役に立ちましたか?

はい いいえ

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
配信しています
詳しくはこちら

page top