Microsoft製の複数製品に意図しないDLLを読み込んでしまう脆弱性、修正の予定はなし

“JVN”が公開した脆弱性レポート

　脆弱性ポータルサイト“JVN”は17日、複数のMicrosoft製品およびそのインストーラーに脆弱性が存在することを発表した。DLLを読み込む際の検索パスに関する処理に不備があり、インストーラーと同じフォルダー内に存在する特定のDLLファイルを読み込んでしまう恐れがある。Microsoft社は、実際の攻撃に悪用される可能性は限定的だとして、セキュリティ更新プログラムによる対応は行わないとしているという。

　“JVN”が公開した脆弱性レポートによると、脆弱性の確認された製品は以下の通り。

• Visual C++ 再頒布可能パッケージ のインストーラー（CVE-2018-0599）
• Microsoft OneDrive（CVE-2018-0592）
• Microsoft OneDrive のインストーラー（CVE-2018-0593）
• Skype for Windows（CVE-2018-0594）
• Skype for Windows のインストーラー（CVE-2018-0595）
• Visual Studio Community のインストーラー（CVE-2018-0596）
• Visual Studio Code のインストーラー（CVE-2018-0597）

　また、Windowsに付属する「IExpress」を利用して作成された自己解凍書庫ファイルにも、同様の脆弱性がある（CVE-2018-0598）。脆弱性の深刻度は、“CVSS v3”で基本値“7.8”、“CVSS v2”で基本値“6.8”。

　この脆弱性を突いた攻撃を成功させるには、攻撃者の意図するパスにあらかじめ悪意あるDLLが配置されている必要がある。“JVN”は回避策として、実行ファイル（インストーラーや自己解凍書庫ファイルを含む）を実行する際、そのフォルダーに無関係なファイルが配置されていないか確認することを推奨している。