公開日:2018/06/12 最終更新日:2018/06/12

JVN#92265618
LINE PC版 (Windows版) における DLL 読み込みに関する脆弱性

概要

LINE PC版 (Windows版) には、DLL 読み込みに関する脆弱性が存在します。

影響を受けるシステム

  • LINE PC版(Windows版)バージョン5.8.0 未満
開発者によると、5.8.0 以上のバージョンは、本脆弱性の影響を受けないとのことです。

詳細情報

LINE株式会社が提供する LINE PC版 (Windows版) には、起動時に DLL を読み込むパスを指定する機能があります。遠隔の第三者によって細工されたリンクを介して LINE を起動することで、意図しない DLL を読み込む可能性があります。

想定される影響

プログラムを実行している権限で、任意のコードを実行される可能性があります。

対策方法

アップデートする
製品開発者が提供する情報をもとに、最新版にアップデートしてください。
開発者によると、2018年5月31日に本脆弱性の修正を行ったバージョン 5.8.0 を公開しており、LINE 起動時に自動的にアップデートが適用されるとのことです。

ベンダ情報

ベンダ リンク
LINE株式会社 [脆弱性情報] LINE PC版(Windows)の脆弱性と修正完了に関するお知らせ

参考情報

  1. Japan Vulnerability Notes JVNTA#91240916
    Windows アプリケーションによる DLL 読み込みやコマンド実行に関する問題

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
基本値: 7.8
CVSS v2 AV:N/AC:M/Au:N/C:P/I:P/A:P
基本値: 6.8

分析結果のコメント

攻撃者が用意したバッチファイルやショートカットファイルなどを通じてユーザが自ら LINE を起動することを想定しています。

謝辞

この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2018-0609
JVN iPedia JVNDB-2018-000063