【注意喚起】富士ゼロックス　ApeosPort-VI C7771/C6671/C5571/C4471/C3371/C2271、DocuCentre-VI C7771/C6671/C5571/C4471/C3371/C2271向けプリンタードライバー、ダイレクトファクスドライバーおよび設定復元ツールのインストールパッケージ任意DLL読み込みに関する脆弱性について

富士ゼロックス社のプリンタードライバーのうち、当該バージョンのインストールパッケージ、及び、インストーラ(fxcominst.exe)には、exeファイル起動時に、同一ディレクトリに存在する特定の DLL を読み込んでしまう脆弱性 (CWE-427) があります。
そのため、インストールパッケージ解凍、及び、インストーラ起動時に、exeファイルと同一のフォルダーに悪意のあるDLLが存在すると、任意のコードが実行される恐れがあります。
注記：本脆弱性の影響を受けるのはインストールパッケージの解凍時、及び、インストーラの起動時のみです。インストール後の利用については問題ございません。

今後の被害防止のために、今後新たにドライバーをインストールする場合は、必ず最新のドライバーを富士ゼロックスのホームページからダウンロードして利用するようにしてください。

１．脆弱性を有するソフトウエア
注記：すでにインストールして利用しているものについては問題ありません。
– ART-EXドライバー 登録日2017年4月19日以前のパッケージ
– PostScript ドライバー 登録日2017年5月26日以前のパッケージ
– XPS対応ドライバー 登録日2016年12月1日以前のパッケージ
– ART EXダイレクトファクスドライバー 登録日2017年6月30日以前のパッケージ
– 設定復元ツール 登録日2015年10月9日以前のパッケージ

２．回避方法
やむを得ず旧インストールパッケージを利用する場合やWindowsセキュリティパッチが適用できない場合は、何も配置されていない新規フォルダーを作成し、その中にインストールパッケージ(exeファイル)を格納してから解凍を実施して下さい。その上で、解凍フォルダーに最初に含まれている以外のファイルを置かずにインストール作業を実施して下さい。

２．対策
富士ゼロックスから、セキュリティ対策を行ったインストールパッケージが提供されています。
今後、新たにドライバーをインストールする場合は、必ず最新のドライバーを富士ゼロックスのホームページからダウンロードして利用するようにしてください。

ART-EXドライバー 登録日2017年8月以降のパッケージ
PostScript ドライバー 登録日2017年8月以降のパッケージ
XPS対応ドライバー 登録日2017年8月以降のパッケージ
ART EXダイレクトファクスドライバー 登録日2017年8月以降のパッケージ
設定復元ツール 登録日2017年8月以降のパッケージ

<注意事項>
インストールパッケージの解凍時に作成される解凍フォルダーには、インストールパッケージに含まれている以外のファイルを配置しないでください。
本セキュリティ対策を有効にするために、インストールパッケージの実行前に最新のWindowsセキュリティパッチを適用してください。ただしWindows XP/Windows Server 2003以前のOSでは本セキュリティ対策を有効にするセキュリティパッチは提供されておりません。
ART-EXドライバーおよびART EXダイレクトファクスドライバーのドライバーセットアップディスク作成ツールをご利用になる場合は、何も配置されていない新規フォルダーを作成し、そのフォルダーを「作成先フォルダー」で指定してください。作成したドライバーセットアップディスクのフォルダー以下には、作成ツールが作成した以外のファイルを置かずにご利用ください。

４．関連サイト
詳細は、以下の情報を参照してください。
http://www.fujixerox.co.jp/company/news/notice/2017/0831_rectification_work_3.html

https://jvn.jp/jp/JVN09769017/index.html

【本件問い合わせ先】
情報推進部　情報企画課　情報企画班　TEL：06-6879-4482(吹 4482,8989)