【サポート情報】SKYSEAにおける DLLプリロードの脆弱性に関する注意喚起(CVE-2021-20616)

連絡
お知らせ管理番号:
0000002028
公開日:
2021年1月12日

お客様各位


平素は、弊社たよれーるサービスをご利用いただき、誠にありがとうございます。

この度 Sky株式会社より「SKYSEA Client View」をインストール(アンインストール)する実行ファイルに対して「DLLプリロードの脆弱性」に関する注意喚起(CVE-2021-20616)が公開されています。

 
■概要

 「SKYSEA Client View」をインストール(アンインストール)する実行ファイルに対して
  「DLLプリロード の脆弱性」が確認されました。
 この脆弱性を悪用された場合には、インストール(アンインストール)の実行時に任意のコードを
 実行される可能性がございます。

 ※外部からリモート実行されるような問題ではございません。
  また、本脆弱性を突いた攻撃の報告は、現時点でSKY株式会社には入っていないとの報告を
  受けております。

 

■対策

 修正モジュールにつきましては、以下のサイトより提供されております。

 SKYSEA保守契約ユーザー用Webサイト
 トピックス

https://sp.skyseaclientview.net/topics/detail_2163.html

  ※ログインには、ユーザーIDとパスワードが必要です。

 

■ 脆弱性(CVE-2021-20616)に関するFAQ

 本件に関するFAQは、以下をご参照ください。

https://sp.skyseaclientview.net/faq/detail_882.html

 ※ログインには、ユーザーIDとパスワードが必要です。

 

Sky株式会社から、外部よりリモート実行される危険性はないとの連絡がございますが、
上記 SKYSEA保守契約ユーザー用Webサイトに掲載の修正モジュール適用をご検討いただけますようお願いいたします。

お手数をおかけいたしますがよろしくお願いいたします。

 

たよれーるコンタクトセンター

 

■影響を受けるプログラムの詳細は以下のとおりです。

CVE識別番号(CVE-ID) CVE-2021-20616
製品 SKYSEA Client View
対象バージョン Ver.1.020.05b~Ver.16.001.01g
対象プログラム ・インストールディスク(電子納品開始以降はインストールデータ)
・部署情報付きインストーラー
・アンインストーラー

※いずれもWindows OSが対象です
CVSS 3.0スコア 7.8