JVNVU#98897821
Telerik Analytics Monitor ライブラリに DLL ハイジャックが可能な脆弱性

Telerik Analytics Monitor ライブラリは、アプリケーション使用に関するメトリクス情報を収集するためのアプリケーション使用解析サービスです。特定のバージョンの Telerik Analytics Monitor ライブラリには、DLL ハイジャックが可能な脆弱性が存在するため、ライブラリを実装するアプリケーションのコンテキストで任意のコードをロードさせられる可能性があります。

• Telerik Analytics Monitor ライブラリ バージョン 3.2.96 およびそれ以降、3.2.125 より前のバージョン

プロセスの制御 (CWE-114)

Telerik Analytics Monitor ライブラリは、アプリケーションに統合する DLL として提供されています。このライブラリは、HTTPS 通信をサポートする目的で、独自にビルドした OpenSSL を含んでいます。

本脆弱性は、2014年8月3日にリリースされた Telerik Analytics Monitor ライブラリ バージョン 3.2.96 において作りこまれました。このバージョンでは、OpenSSL ライブラリが暗号化演算ハードウェアをサポートする形でビルドされており、関連する DLL を実行時にロードしようとします。具体的には、4つの DLL (sunsapi.dll、swift.dll、nfhwcrhk.dll、surewarehook.dll) をロードしようとしますが、これらは Telerik からは提供されていません。本脆弱性の影響を受ける Telerik Analytics Monitor ライブラリのファイル名は、EQATEC.Analytics.Monitor.Win32_vc100.dll (32-bit 版システム向け) と EQATEC.Analytics.Monitor.Win32_vc100-x64.dll (64-bit 版システム向け) です。

第三者によって提供された悪意ある DLL が Telerik Analytics Monitor ライブラリを実装するアプリケーションにロードされることで、アプリケーションのコンテキストで任意のコードを実行される可能性があります。Telerik Analytics Monitor ライブラリは制御システム (ICS) 等で利用されており、脆弱性が悪用された場合、第三者によって、制御システムにアクセスされる可能性があります。

アップデートする
本脆弱性は Telerik Analytics Monitor ライブラリ バージョン 3.2.125 で対策されています。バージョン 3.2.125 以降では OpenSSL が暗号化演算ハードウェアのサポートを無効にしてビルドされており、実行時に DLL がロードされることはありません。

開発者は、バージョン 3.2.129 にアップデートすることを推奨しています (バージョン 3.2.125 より後で発生した問題も修正されているため)。