PFU「ScanSnap Manager」のインストーラに脆弱性

　一般社団法人 JPCERTコーディネーションセンター(JPCERT/CC)は21日、PFUのスキャナユーティリティ「ScanSnap Manager V7.0L20」以前のインストーラにDLL読み込みに関する脆弱性があるとし、注意を促している。共通脆弱性識別子はCVE-2021-20722。

　このバージョン以前のインストーラには、DLLを読み込む際の検索パスに問題があり、同一ディレクトリに存在するDLLを読み込んでしまう脆弱性がある。これを悪用するためにはローカルでの操作が必要となるが、機密性や完全性、可用性への影響は「高」と評価している。

　問題が修正された最新のインストーラを使用すれば問題は解消するが、インストール実行の際は、インストーラと同じディレクトリに不審なファイルがないことを確認するよう促している。

　なお、影響を受けるのはインストーラ起動時のみとなるため、すでに製品をインストール済みの場合は影響を受けない。また、PFUの最新製品では、ScanSnap Managerに代わる新ソフトウェア「ScanSnap Home」の利用を推奨している。