任意のDLL/実行ファイル読込に関する脆弱性、開発者に注意を呼びかけ(IPA) | ScanNetSecurity
2024.04.27(土)

任意のDLL/実行ファイル読込に関する脆弱性、開発者に注意を呼びかけ(IPA)

独立行政法人情報処理推進機構 セキュリティセンター(IPA/ISEC)は11月11日、任意のDLL/実行ファイル読み込みに関する脆弱性に関して届出およびJVNによる脆弱性公表が増加している状況を受け、ソフトウェア開発者に対して脆弱性を作りこまない実装を呼びかけるため注意

製品・サービス・業界動向 業界動向
facebookLINE
独立行政法人情報処理推進機構 セキュリティセンター(IPA/ISEC)は11月11日、任意のDLL/実行ファイル読み込みに関する脆弱性に関して届出およびJVNによる脆弱性公表が増加している状況を受け、ソフトウェア開発者に対して脆弱性を作りこまない実装を呼びかけるため注意喚起を発表した。IPAでは、複数のソフトウェアにおいて同種の脆弱性に関する届出、公表が続いているため、この脆弱性が存在するソフトウェアが他にも数多く存在する可能性があるとみている。

この脆弱性は、ソフトウェアがDLLや実行ファイルを読み込む際の実装方法に原因がある。ソフトウェアがパス名を指定せずにDLLや実行ファイルを読み込む場合、ソフトウェアはWindowsシステムで指定された検索順序に従ってDLL/実行ファイルを検索する。この際、目的とするDLL/実行ファイルを見つける前に攻撃者が用意したDLL/実行ファイルを見つけた場合、それを読み込み、利用者のPC上で任意のコードが実行されてしまう。IPAではソフトウェア開発者に注意を促すとともに、有効な実装方法を紹介している。

http://www.ipa.go.jp/about/press/20101111.html

《ScanNetSecurity》

PageTop

アクセスランキング

  1. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  2. 雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  3. セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  4. タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

    タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

  5. 重い 高い 検索も使いにくいメールを企業の 6 割が使う理由

    重い 高い 検索も使いにくいメールを企業の 6 割が使う理由

  6. スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談

    スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR

  7. 研究開発の推進責務が撤廃ほか ~「NTT法」改正法律成立を受け NTT がコメント

    研究開発の推進責務が撤廃ほか ~「NTT法」改正法律成立を受け NTT がコメント

  8. RoamWiFi R10 に複数の脆弱性

    RoamWiFi R10 に複数の脆弱性

  9. 2024年第1四半期 IPA 情報セキュリティ安心相談窓口の相談状況、サポート詐欺被害時の漏えい可能性判断ポイントほか

    2024年第1四半期 IPA 情報セキュリティ安心相談窓口の相談状況、サポート詐欺被害時の漏えい可能性判断ポイントほか

  10. 脆弱性診断自動化ツール「AeyeScan」を基盤に「診断マネジメントプラットフォーム」を提供

    脆弱性診断自動化ツール「AeyeScan」を基盤に「診断マネジメントプラットフォーム」を提供

ランキングをもっと見る
ホーム 製品・サービス・業界動向 業界動向 記事
TOP