【外部リンク】
https://jvn.jp/ta/JVNTA91240916/
JVNTA#91240916
Windows アプリケーションによる DLL 読み込みやコマンド実行に関する問題
概要
Windows アプリケーションに対して DLL 読み込みやコマンド実行に関する脆弱性が多数報告されています。
参考:
InstallShield
Best Practices to Avoid Windows Setup Launcher Executable Issues
NSIS (Nullsoft Scriptable Install System)
#1125 Code execution / Privilege escalation problems with NSIS installers
The WiX Tookit
Prevent DLL Hijacking Burn with Clean Room
WiX v3.10.2 released
WiX Toolset v3.10.3 Released
Inno Setup 5
Revision History
また、Windows が提供している標準の DLL ファイルの中には、実行しているアプリケーションと同じディレクトリから他の DLL ファイルを読み込むものが存在します。さらに、Windows で提供されている iexpress コマンドで作成した自己解凍書庫ファイルについても DLL 読み込みに関する問題があることが報告されています。
ベンダ リンク
Microsoft SR&D blog: Triaging a DLL planting vulnerability
Dynamic-Link Library セキュリティ
Security Research & Deense Blog: Load Library Safely
7-ZIP 7-Zip 16.03
ExpLZH what's new
NSIS (Nullsoft Scriptable Install System) #1125 Code execution / Privilege escalation problems with NSIS installers
The WiX Toolkit Prevent DLL Hijacking Burn with Clean Room
WiX v3.10.2 released
WiX Toolset v3.10.3 Released
InstallShield Best Practices to Avoid Windows Setup Launcher Executable Issues
Inno Setup 5 Revision History
PortableApps.com NSIS vulnerable to Dll hijacking SHFOLDER.DLL
参考情報
Japan Vulnerability Note JVNVU#707943
Windows プログラムの DLL 読み込みに脆弱性
Japan Vulnerability Note JVNTA10-238A
Microsoft Windows における DLL 読み込みに関する脆弱性
SlideShare
DLL 読み込みの問題を読み解く
Hitachi Incident Response Team
HIRT-PUB17011:DLL読み込み問題
IPA
【注意喚起】Windowsアプリケーションの利用における注意
人気の投稿
-
n117 データアクセスに制限がかかっています 【外部リンク】 https://id.smt.docomo.ne.jp/src/utility/errorcode_list.html dアカウント設定のエラーコードと対処方法 エラーコード一覧(2019年7月... -
パスキーを作成できませんでした パスキーを作成しようとして問題が発生しました。もう一度お試しください。 再試行 キャン セル 【外部リンク】 他の人はこちらも検索 パスキー端末設定 やり方 いつもパスキー設定 できない dアカウント パスキー設定 できない パスキー端末... -
0x8024せ0え 0x8024ce0e Dell Firmware Update再起動が必要です dell inc 0x8024ce0e 【外部リンク】
-
iphoneを消去と解除の違い 【外部リンク】
-
mpa-acu13 すぐに使えなくなる 【外部リンク】