-
タグ
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- SASE
- デジタルアイデンティティ
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR
LAC Advisory No.108
Problem first discovered on: Sun, 23 Jan 2011
Published on: Thu, 22 Sep 2011
脅威度
中
概要
ライブラリ GTK+ には、DLL 読み込みに関する脆弱性が存在します。攻撃者に利用された場合、任意のプログラムを実行される恐れがあります。
詳細
ライブラリ GTK+ を組み込んだプログラムを起動すると、GTK+ が DLL「wintab32.dll」を読み込みます。Windowsによっては「wintab32.dll」が存在しないため、GTK+を組み込んだプログラムを起動したカレントディレクトリまで、「wintab32.dll」が探索されてしまいます。
このため、攻撃者に悪用された場合、攻撃者が用意した DLL「wintab32.dll」を実行される可能性があります(下図は電卓プログラムを起動するだけの DLL「wintab32.dll」を読み込んでしまったことを示します)。
なお、この脆弱性はドローソフト「Inkscape」の脆弱性として発見しました。
影響を受ける バージョン
GTK+ 2.21.8 より前のバージョン
上記バージョンの GTK+ を組み込んだプログラムが影響を受ける可能性があります。ラックでは Inkscape 0.48.0が影響を受けることを確認しています。
対策
対策は、「GTK+ を使う開発者」と「GTK+ を組み込んだプログラムを使う利用者」ごとに異なります。
GTK+ を使う開発者は、GTK+ を最新版にアップデートしてください。
GTK+ を組み込んだプログラムを使う利用者は、そのプログラムを最新版にアップデートすることを推奨いたします。Inkscape0.48.2(アドバイザリ発行時点の最新バージョン)では本脆弱性が再現しないことを確認しています。
本脆弱性の影響を受けるプログラムが明確に分からないため、必要に応じてマイクロソフト社が提供している「DLLプリロード問題の対策ガイダンス」を基に回避策を講じてください。
「DLL プリロード問題の対策ガイダンス」公開!
http://blogs.technet.com/b/jpsecurity/archive/2011/01/20/3381400.aspx
DLL プリロードの対策ガイダンス
http://download.microsoft.com/download/F/6/9/F6902057-E627-4C10-853B-264C8A446972/DLL_Guidance.docx
発見者
勝海 直人(ラック)
謝辞:
本問題は、情報処理推進機構(IPA) および JPCERT/CC による『情報システム等の脆弱性関連情報の届出制度』に従い届出を行いました。
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- もっと見る +
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- SASE
- デジタルアイデンティティ
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR