2021年3月1日(月)に、MagicConnectクライアントアプリケーション(対象機器側アプリケーション)のインストーラを更新しました。
本件に関しての不具合内容の詳細報告となります。
不具合内容
・MagicConnectクライアントアプリケーションのインストーラには、リモートデスクトップを⽤いて遠隔から接続している端末内において、同一フォルダーに存在する特定のDLLを読み込んでしまう脆弱性が存在しました。
そのため、インストーラ実行時に同一のフォルダーに悪意のあるDLLファイルが存在すると、任意のコードが実行される恐れがあります。
変更点
・インストーラの不具合修正
インストールされるアプリケーションに問題、変更はありません。バージョンは 7.0r2 のままです。
そのため、既にインストール済みの場合、改めてダウンロード、インストールする必要はありません。
3月1日より前にファイルをダウンロードし、組織内への展開用に保持されている場合は、最新のクライアントプログラム インストーラをダウンロードし直してください。
(セットアップ ページ内、「プログラム > 対象機器 クライアントプログラム」)
(3/12 追記)
既にダウンロード済みのインストーラ ファイルが脆弱性の影響を受けるかどうか、インストーラ ファイルの [ファイル バージョン] により確認が可能です。
インストーラファイルを右クリックし「プロパティ」を選択してください。
[詳細]タブ [ファイル バージョン]の情報をご確認ください。
3/12 現在の最新のインストーラ ファイル
・mcclient20_setup.exe … 1.0.24624.36447
・mcclient20_setup (2).exe … 1.0.24624.36665
今後の更新も含め、上記の数字以上であれば、本脆弱性の影響を受けません。