日本語入力ソフト「Baidu IME」のインストーラーに脆弱性、任意コード実行の恐れ

「Baidu IME」のインストーラー

　脆弱性ポータルサイト“JVN”は3日、日本語入力システム「Baidu IME」のインストーラーにDLL読み込みに関する脆弱性が存在することを明らかにした。DLLを読み込む際の検索パスに問題があり、同一フォルダーに存在するDLLを意図せず読み込んでしまう恐れがあるという。最悪の場合、インストーラーを実行している権限で任意のコードを実行される可能性がある。

　“JVN”の脆弱性レポート（JVN#17788774）によると、本脆弱性は「Baidu IME」v3.6.1.6およびそれ以前のバージョンに影響する。深刻度の評価は“CVSS v3”で基本値“7.8（危険）”、“CVSS v2”で基本値“6.8（警告）”。

　本脆弱性はインストーラーに起因するため、既存ユーザーは対策の必要はない。新規にインストールする場合は、かならず本ソフトの公式サイトから最新版のv3.6.1.7をダウンロードして利用するようにしよう。