JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は10月14日、「JVNVU#91648232: Flexera InstallShield によって生成されたインストーラに DLL 読み込みに関する脆弱性」において、Flexera InstallShieldによって生成されるインストーラに脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によってインストーラを実行している権限で任意のコードが実行される可能性がある。

脆弱性に関する情報は次のページにまとまっている。

CWE - CWE-426: Untrusted Search Path (4.2)

脆弱性が存在するとされるシステムは次のとおり。

Flexera InstallShield 2015 SP1およびそれより前のバージョン
Flexera InstallShieldによって生成されたインストーラが組み込まれたプロダクト

JPCERT/CCはFlexera InstallShieldを使ってインストーラを開発している開発者に対し、Flexera Softwareが提供する情報に基づいて最新版へアップデートすることを推奨している。また、Flexera SoftwareのFlexera InstallShieldを使って生成されたインストーラが組み込まれたプロダクトを使っている場合は、その開発者へ問い合わせることを推奨している。