ソフトウェア「TKY2JGD」「SemiDynaEXE」「PatchJGD」「PatchJGD(標高版)」の脆弱性及び提供終了に関するお知らせ
概要
国土地理院がホームページ上で提供していた下記のソフトウェアについて、インストール時において、意図しないDLLを読み込んでしまう脆弱性があることが判明しました。
つきましては、別途、同じ計算機能を有するものの提供を行っているため、同ソフトウェアの提供は終了いたします。
なお、既にパソコンに保存されている当該ソフトウェアのインストール用実行形式ファイルは実行せずに、確実に削除してください。新たにインストールしないでください。
また、既にインストールされている場合は、セキュリティ対策ソフトによりご使用のパソコンをスキャンすることを推奨します。
脆弱性のあるソフトウェア
つきましては、別途、同じ計算機能を有するものの提供を行っているため、同ソフトウェアの提供は終了いたします。
なお、既にパソコンに保存されている当該ソフトウェアのインストール用実行形式ファイルは実行せずに、確実に削除してください。新たにインストールしないでください。
また、既にインストールされている場合は、セキュリティ対策ソフトによりご使用のパソコンをスキャンすることを推奨します。
脆弱性のあるソフトウェア
- TKY2JGD (TKY2JGD1379.EXE) (ver. 1.3.79)
- SemiDynaEXE (SemiDynaEXE2008.EXE) (ver.1.0.2)
- PatchJGD (PatchJGD101.EXE) (ver.1.0.1)
- PatchJGD(標高版) (PatchJGDh101.EXE) (ver.1.0.1)
今後の対応
脆弱性の判明により、当該ソフトウェアの提供を終了いたします。
今後は、当該ソフトウェアと同じ計算機能を有する測量計算サイトをご利用ください。
また、PatchJGD及びPatchJGD(標高版)に関しましては、同様の機能を有するPatchJGD_HVをダウンロードして、ご利用いただくことも可能です。
今後は、当該ソフトウェアと同じ計算機能を有する測量計算サイトをご利用ください。
また、PatchJGD及びPatchJGD(標高版)に関しましては、同様の機能を有するPatchJGD_HVをダウンロードして、ご利用いただくことも可能です。
脆弱性により想定される脅威
悪意ある第3者によって、意図する場所に細工されたdllファイルを何らかの方法で配置されている場合、当該ソフトウェアのインストール時に、任意のコードを実行される可能性があります。
(例:当該ソフトウェアのインストール用実行形式ファイルと同じ場所(フォルダ)に悪意のあるDLLが存在する場合。)
(例:当該ソフトウェアのインストール用実行形式ファイルと同じ場所(フォルダ)に悪意のあるDLLが存在する場合。)
関連情報
JVNの報告
- 国土地理院が提供する複数のソフトウェアのインストーラにおける任意のDLL読み込みの脆弱性(JVN#52691241)