対象バージョン

• キャラミん OMP 1.1.7.4以前
• キャラミん OMP 1.2.0.0β以前

詳細情報

当該バージョンのインストーラには、インストール開始時に、同一ディレクトリに存在する特定の DLL を読み込んでしまう脆弱性 (CWE-427) があります。
そのため、インストール時に任意のコードが実行される恐れがあります。
※本脆弱性の影響を受けるのはインストーラの起動時のみのため、インストール後の利用については問題はございません。

脆弱性への対応

セキュリティ対策を行ったインストーラを新たに作成いたしました。以下のバージョンで修正されています。

• キャラミん OMP 1.1.7.5
• キャラミん OMP 1.2.0.1β

※2017年6月27日 インストーラの配布形式を変更し、Zip形式にて配布するように変更しました。Zipファイルをダウンロード後、Zipファイルを展開し、setupフォルダにある「OmpSetup.exe」を実行して下さい。また、setupフォルダには最初に含まれている以外のファイルを置かないで下さい。

※2017年6月28日 本件とは別の不具合を修正した新規バージョンを公開し、exeファイル形式に変更しました（1.1.7.6, 1.2.0.2β）

回避方法

やむを得ず旧インストーラを利用する場合は、何も配置されていないディレクトリにインストーラを移動し、実行して下さい。

関連情報

JVN#09293613 キャラミんOMP のインストーラにおける任意の DLL 読み込みに関する脆弱性

　

謝辞

脆弱性発見者の 橘総合研究所 英利 雅美 様、および対策にご協力頂きました IPA、JPCERT/CC の方々に、感謝申し上げます。

更新履歴

• 2017年6月22日 脆弱性情報を公開
• 2017年6月26日 JVNへのリンクを追加
• 2017年6月27日 Zip形式でのインストーラ配布に変更
• 2017年6月28日 本件とは別の不具合を修正した新規バージョンを公開（1.1.7.6, 1.2.0.2β）