◆概要
2021 年 4 月に、ファイル解析ツールである ExifTool に、任意のコードが実行可能となる脆弱性が報告されています。脆弱性を悪用するファイルを脆弱な ExifTool で解析した場合は、ファイルに埋め込まれた悪意のある命令が実行されてしまいます。ソフトウェアのアップデートにより対策してください。
◆分析者コメント
マルウェアと疑わしいファイルなどの解析を日常的に行う技術者はもちろんですが、ExifTool のような解析ツールはアプリケーションの一部として利用されている可能性があります。よって、ExifTool を意図的に使っていない場合でも、インターネット上に公開しているサーバなどで ExifTool がインストールされているかどうかを確認し、脆弱性の対策を実施することを推奨します。
◆深刻度(CVSS)
[CVSS v3.1]
7.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2021-22204&vector=AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=NIST
◆影響を受けるソフトウェア
ExifTool のバージョン 7.44 から 12.24 未満のバージョンが当該脆弱性の影響を受けると報告されています。
◆解説
ファイルを解析し、メタデータなどを抽出するツールである ExifTool に、遠隔からのコード実行が可能となる脆弱性が報告されています。
2021 年 4 月に、ファイル解析ツールである ExifTool に、任意のコードが実行可能となる脆弱性が報告されています。脆弱性を悪用するファイルを脆弱な ExifTool で解析した場合は、ファイルに埋め込まれた悪意のある命令が実行されてしまいます。ソフトウェアのアップデートにより対策してください。
◆分析者コメント
マルウェアと疑わしいファイルなどの解析を日常的に行う技術者はもちろんですが、ExifTool のような解析ツールはアプリケーションの一部として利用されている可能性があります。よって、ExifTool を意図的に使っていない場合でも、インターネット上に公開しているサーバなどで ExifTool がインストールされているかどうかを確認し、脆弱性の対策を実施することを推奨します。
◆深刻度(CVSS)
[CVSS v3.1]
7.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2021-22204&vector=AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=NIST
◆影響を受けるソフトウェア
ExifTool のバージョン 7.44 から 12.24 未満のバージョンが当該脆弱性の影響を受けると報告されています。
◆解説
ファイルを解析し、メタデータなどを抽出するツールである ExifTool に、遠隔からのコード実行が可能となる脆弱性が報告されています。
![彷彿 Stuxnet/セキュリティ業界資金調達史上最高/サプライチェーン対処ベストプラクティス ほか [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/34318.jpg)
