Baidu IME のインストーラーに脆弱性、任意のコマンドが実行できてしまう
Baiduがフリーソフトとして提供している、IMEソフト「Baidu IME」のインストーラーにおいて、DLL読み込みに関する脆弱性が発見されました。
DLLを読み込む際の検索パスに問題があるようで、同一ディレクトリに存在する特定のDLLファイルを読み込んでしまう脆弱性(CWE-427)が存在しているようです。
新規ユーザーのみに影響する
今回の脆弱性はインストーラーの脆弱性ですので、既存ユーザーには影響が無いようです。
Baidu IMEのユーザーなので、分からないのですがアップデートについては、新バージョンのインストーラーを実行させるのでは無く、別途アップデーターがあるのかもしれませんね。
新規インストールを考えている方は、現在保存しているインストーラーを破棄して、対策済みのインストーラーをダウンロードしてインストールするようにしてくださいね。
どうも、JVNの更新履歴を見てみると、2017/06/02に脆弱性が確認されたため、インストーラーを一時公開停止にして、2017/06/06に脆弱性を修正したバージョンを公開したものの、2017/06/30に再度脆弱性の修正を行い。2017/07/26に修正版インストーラーを公開したようですね。
まとめ
脆弱性自体は少し深刻な物ではありますが、インストール時にのみ効力を発揮する物ですので、そこまで影響範囲は大きくないとは思われますが、どの時点で公開されたインストーラーからこの脆弱性があったのか不明ですので、正確な影響範囲はこの情報だけでは絞れなさそうですね・・・