EPSON製プリンタドライバに、インストーラがアクセス権を変更する脆弱性

　IPA（情報処理推進機構）セキュリティセンターおよびJPCERTコーディネーションセンター（JPCERT/CC）は8日、「EPSON製プリンタドライバのインストーラがアクセス権を変更する脆弱性」をJVN（Japan Vulnerability Notes）において公表した。

　それによると、EPSON製のプリンタドライバのインストーラには、プログラムファイル等を格納するフォルダのアクセス権を変更してしまう脆弱性が存在するとのこと。その結果、本来アクセス権のないユーザーがそのフォルダ以下へアクセス可能になるという。この脆弱性情報は、11月24日にIPAおよびJPCERT/CCが製品開発者自身から脆弱性および対策情報の連絡を受け、公表したものとなる。

　対象となる機種およびバージョンは、LP-S9000用のドライバVer4.1.11（32-bit版および64-bit版）より前のバージョン、LP-S7100用のドライバVer4.1.7（32-bit版および64-bit版）より前のバージョンとなる。影響を受けるOSは、Windows 2000、Windows 2000 Server、Windows XP、Windows Server 2003（32bit版）、Windows XP、Windows Server 2003（64bit版）で、Vista以降は影響を受けない。対象OSに対して、対象プリンタードライバーをインストールすると、「C:￥Program Files」フォルダーのセキュリティに登録されるユーザーが「Everyone」のみとなり、「Everyoneのアクセス許可」が「フルコントロール」となる。