DLL／実行ファイル読み込みに関する脆弱性--IPA、開発者に注意喚起

　情報処理推進機構 セキュリティセンター（IPA/ISEC）は11月11日、任意のDLL／実行ファイル読み込みに関する脆弱性について届出、JVNによる脆弱性公表が増加している状況を受け、ソフトウェア開発者に対して脆弱性を作りこまない実装を呼びかけるため注意喚起を発表した。

　9〜11月に複数のソフトウェアで任意のDLL／実行ファイル読み込みに関する脆弱性が届けられており、ソフトウェア開発者が脆弱性を修正後、JVNで脆弱性対策情報を公表したものが13件ある。同種の脆弱性に関する届出、公表が続いているため、この脆弱性が存在するソフトウェアがほかにも数多く存在する可能性があると考え、注意喚起に至ったという。

　この脆弱性は、ソフトウェアがDLLや実行ファイルを読み込む際の実装方法に原因がある。ソフトウェアがパス名を指定せずにDLLや実行ファイルを読み込む場合、ソフトウェアはWindowsで指定された検索順序に従ってDLL／実行ファイルを検索する。この際、目的とするDLL／実行ファイルを見つける前に攻撃者が用意したDLL／実行ファイルを見つけた場合、それを読み込み、利用者のPC上で任意のコードが実行されてしまう。

　Windowsで動作し、パス名を指定せずに外部DLLもしくは外部実行ファイルを使用するソフトウェアは、この脆弱性を内在する可能性が高い。IPAでは、任意のDLL／実行ファイル読み込みに関する脆弱性に共通する実装方法として、任意のDLL／実行ファイルを呼び出す場合、完全修飾パス名を指定する。また、任意のDLL読み込みに関する脆弱性のみに有効である実装方法として、DLLの検索対象から利用者が作業をしているフォルダ（カレントディレクトリ）を削除するよう呼びかけている。