独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は12月21日、Squirrel.Windows で生成したインストーラにおける DLL 読み込みに関する脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。SOMPOホールディングス株式会社のKoh You Liang氏が報告を行っている。影響を受けるシステムは以下の通り。
Squirrel.Windows 2.0.1 およびそれ以前のバージョンを使用して生成したインストーラ
Windows デスクトップアプリケーションにインストールやアップデート機能を提供するツールセットおよびライブラリ「Squirrel.Windows」を使用して生成したインストーラには、DLL を読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定の DLL を読み込んでしまう脆弱性が存在し、インストーラを実行している権限で任意のコードを実行される可能性がある。
2022年12月21日現在、本脆弱性を修正したバージョンは提供されておらず、開発者によると修正バージョンのリリース時期は未定とのこと。
