5年以上前から存在が分かっているWindowsのDLLのハイジャック脆弱性、JPCERTの放置が原因でJVNに掲載されていないことが判明

Windows のDLLのハイジャック脆弱性 攻撃コードの改良で範囲拡大できることが判明
このセキュリティホールについてマイクロソフトセキュリティセンターから公式の回答が来たので報告します･ω･

ちなみに、Vivaldiの技術者さんとも情報交換したんですが、どうやらこの脆弱性、開発者は5年以上前から把握してるのではないかと言う話でした。

メールの中身は公開できませんが、概要は以下の通り。

マイクロソフトは DLL Hijacking
の脆弱性について 2つの種類を区分わけしている

1) Application Directory
の問題
2) Current Working Directory
の問題

1 は、アプリケーションと同じフォルダのDLLに対して、ハイジャックが行えるケース
2 は、WORD やエクセル、HTMLなどのファイルに対して、ハイジャックできるケース

マイクロソフトでは、２の脆弱性を 重視していて、修正や、セキュリティ情報を掲載しているが、１の脆弱性については、影響が限定的だと考えているため（本当にそう？）、修正や案内を行わないとのこと

回答が半年以上なかった理由として、

連絡が 私→IPA→ JPCERT → Microsoft → JPCERT で止まっていたからとのこと。

JPCERTが仕事してないないだけでした

で、マイクロソフトからはこの脆弱性については、問い合わせが多いため、  JPCERTから JVN で情報公開されるべき案件である
とのコメントもいただきました。

やっぱり、 JPCERTが仕事してないないだけでした


単に、脆弱性のある実行ファイルについて考えるなら、リスク少ないと思うんですが、ターゲットをユーザーのダウンロードフォルダに絞れば、脆弱性のある、プログラムのどれかを起動してもらえばいいので、影響が限定的と言うことはないと思うんですがねぇ…。
同程度のリスクはあると思うんですが。

そもそも、マイクロソフトさんが配布しているインストーラーはほとんど、全部 脆弱性のある実行ファイルなんですが…。

よし、決めた ・ω・

今度のコミケは、この脆弱性に関する セキュリティ本を作ろう（笑）！

多分、金曜日 東 - た 16bです ・ω・

おまけ
JVNDB-2017-000145 - JVN iPedia - 脆弱性対策情報データベース
この脆弱性に関連して、報告者として情報掲載されました。(最初に報告した脆弱性直ってるんですが、32bit限定で見つかった脆弱性がまだ直ってない模様…修正できたか確認って来ないものなんですね）