WindowsのDLL読み込み脆弱性、ソフト開発者は確認を、IPAが注意喚起

　独立行政法人情報処理推進機構（IPA）は11日、WindowsのDLLまたは実行ファイルの読み込みに起因する脆弱性の届出が続いているとして、ソフトウェア開発者に対して注意喚起を行った。

　この脆弱性は、Windows上のソフトがDLLファイルや他の実行ファイルを読み込む際の実装方法が原因となるもの。ソフトはWindowsシステムで指定された検索順序に従ってDLL/実行ファイルを検索するが、検索対象にはユーザーが作業を行っているフォルダー（カレントディレクトリ）などが含まれている。これを攻撃者が悪用することで、悪意のあるDLL/実行ファイルをカレントディレクトリに置くことなどで、ユーザーが意図しない形でこれらのファイルを実行させられる可能性がある。

　この問題への対策としては、マイクロソフトがソフトウェア開発者向けに、DLL/実行ファイル読み込みの実装に関するガイダンスを提示している。一方で、IPAにはこの脆弱性に関する届出が続いており、他にもこの脆弱性が存在するソフトが数多く存在する可能性があるとして、注意喚起を実施。ソフトウェア開発者に対して、脆弱性の有無を確認し、存在する場合には修正するよう呼びかけている。

WindowsのDLL/実行ファイル読み込みに関する脆弱性の概要