Baidu IME のインストーラーに脆弱性、任意のコマンドが実行できてしまう

Baidu IMEアプリ
スポンサーリンク


Baidu IME のインストーラーに脆弱性、任意のコマンドが実行できてしまう

Baiduがフリーソフトとして提供している、IMEソフト「Baidu IME」のインストーラーにおいて、DLL読み込みに関する脆弱性が発見されました。

DLLを読み込む際の検索パスに問題があるようで、同一ディレクトリに存在する特定のDLLファイルを読み込んでしまう脆弱性(CWE-427)が存在しているようです。

新規ユーザーのみに影響する

今回の脆弱性はインストーラーの脆弱性ですので、既存ユーザーには影響が無いようです。

Baidu IMEのユーザーなので、分からないのですがアップデートについては、新バージョンのインストーラーを実行させるのでは無く、別途アップデーターがあるのかもしれませんね。

新規インストールを考えている方は、現在保存しているインストーラーを破棄して、対策済みのインストーラーをダウンロードしてインストールするようにしてくださいね。

どうも、JVNの更新履歴を見てみると、2017/06/02に脆弱性が確認されたため、インストーラーを一時公開停止にして、2017/06/06に脆弱性を修正したバージョンを公開したものの、2017/06/30に再度脆弱性の修正を行い。2017/07/26に修正版インストーラーを公開したようですね。

まとめ

脆弱性自体は少し深刻な物ではありますが、インストール時にのみ効力を発揮する物ですので、そこまで影響範囲は大きくないとは思われますが、どの時点で公開されたインストーラーからこの脆弱性があったのか不明ですので、正確な影響範囲はこの情報だけでは絞れなさそうですね・・・

Source: JVN | CWE | Baidu

スポンサーリンク


アプリ
スポンサーリンク


YUKITO KATOをフォローする
しょぼんブログ

コメント