IPA、Windows向けソフトの開発者に脆弱性確認を求める

8月に発覚したWindowsのDLL読み込みの脆弱性が多数のソフトウェア製品に影響している。

» 2010年11月11日 15時41分 公開
[國谷武史,ITmedia]

 情報処理推進機構(IPA)は11月11日、ソフトウェア開発者を対象にWindows向け製品の脆弱性に関する注意喚起を行った。8月に発覚したWindowsのDLL読み込みの脆弱性が多数のソフトウェア製品に影響している実態がある。

脆弱性悪用の仕組み

 この脆弱性は、ソフトウェアがDLLや実行ファイルを読み込む際に、安全なパスが指定されていないことで発生する恐れがある。例えば、攻撃者が不正なDLLや実行ファイルを共有環境(ファイルサーバやリムーバブルメディアなど)に設置し、脆弱性のあるソフトウェアで開かせると、リモートから任意のコードを実行できてしまう。

 9月以降、脆弱性対策情報ポータルサイトの「JVN」で公表されたこの脆弱性に関するソフトウェアの情報は13件に上る。

 IPAによれば、影響を受ける可能性が高いソフトウェアは、「Windowsで動作」「パス名を指定せずに外部DLLもしくは外部実行ファイルを使用」の2つを満たすものという。主な対策として、「任意のDLLおよび実行ファイルを呼び出す場合、完全修飾パス名を指定」、または「DLLの検索対象からユーザーが作業をしているフォルダ(カレントディレクトリ)を削除」を挙げている。

 この脆弱性を抱えるソフトウェアは相当数に上るとみられる。IPAはソフトウェア開発者に脆弱性の有無を確認し、存在する場合は修正してほしいと呼び掛けている。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ