ニュース 2019.03.11 Windows7におけるDLL読み込みの脆弱性が発覚
情報処理推進機構(IPA)は2月28日、脆弱性対策情報ポータルサイト「JVN」にてWindows7の脆弱性に関する情報を公開した。
ディレクトリ内の不正なライブラリファイル読み込み
JVNに掲載されている脆弱性レポート「JVN#69181574」では、Windows 7が提供する標準ライブラリ(DLLファイル)のなかには、実行時に必要となる他のライブラリを呼び出し元プログラムと同一のフォルダーから読み込むように作られているものが存在するとのことだ。
このような状況で、細工されたDLLファイルが実行ファイルと同一のディレクトリに置かれていた場合、任意のコードを実行されるおそれがあるという。
更新プログラムの提供予定は無し
この脆弱性についてマイクロソフトは、「『アプリケーションディレクトリにおけるDLLの植え付け』の問題であり、実際の攻撃実現性が限定的であるとしてセキュリティ更新プログラムによる対応は行わない」といった見解を示している。
脆弱性の影響を軽減するために
IPAは、この脆弱性への対策として、Windows 7を最新のWindows10へアップグレードすることを推奨している。
また、アップグレードを行う以外の脆弱性回避策として、以下の方策を実施することで、脆弱性の影響を軽減できるという。
<関連URL>
・JVN#69181574: Windows7におけるDLL読み込みに関する脆弱性(IPA)
http://jvn.jp/jp/JVN69181574/index.html
・DLLの植え付けの脆弱性のトリアージ(Microsoft Japan Security Team)
https://blogs.technet.microsoft.com/jpsecurity/2018/04/10/triaging-a-dll-planting-vulnerability/
TEXT:セキュリティ通信 編集部
PHOTO:iStock
- tag
-