「Simeji」のWindows向けベータ版インストーラーに脆弱性 ～入手しても実行しないように

“JVN”の脆弱性レポート（JVN#31236539）

　脆弱性対策情報ポータルサイト“JVN”は8日、ベータ版として提供されていた日本語入力システム「Simeji」Windows版のインストーラーに意図しないDLLを読み込んでしまう脆弱性が存在することを明らかにした。当該製品はすでに公開を終了しており、修正の予定はない。

　「Simeji」は、バイドゥ社が開発している日本語入力システム。モバイル版が有名で、iOS向けとAndroid向けがラインナップされている。

　“JVN”の脆弱性レポート（JVN#31236539）によると、Windows版「Simeji」のインストーラーにはDLLを読み込む際の検索パスに問題があり、同一フォルダーに存在するDLLを誤って読み込んでしまう恐れがある。脆弱性の評価は、“CVSS v3”で基本値“7.8（危険）”、“CVSS v2”で基本値“6.8（警告）”。

　たとえば、細工が施されたDLLと一緒に圧縮されたインストーラーの書庫ファイルをいずこからか入手し、解凍してそのままインストーラーを実行すると、脆弱性を悪用した攻撃を受ける。開発元のバイドゥ社は、もしインストーラーを入手したとしても実行しないように呼び掛けている。