Eiji James Yoshidaの記録

パケット作りが趣味のセキュリティ技術者の記録(2006年9月6日執筆開始)。当ブログはGoogle AnalyticsとAmazonアソシエイトを利用しています。

PhishWallクライアントInternet Explorer版のインストーラにおける任意のDLL読み込みに関する脆弱性

発見者

吉田 英二(Eiji James Yoshida)
JVN#93699304には他の方の名前もありますが、別々に発見・届出したものになります。

脆弱なソフトウェア

pw-sb-3.7.13.exe以前

脆弱性の概要

pw-sb-3.7.13.exe以前のインストーラには、同一ディレクトリに存在する特定のDLLファイルを読み込んでしまう脆弱性が存在します。

想定される影響

インストーラを実行している権限で、任意のコードを実行される可能性があります。

対策方法

pw-sb-3.7.14.exe以降のインストーラを使用してください。

謝辞

製品開発者への脆弱性の報告にご協力いただいたIPAおよびJPCERT/CCの方々に感謝いたします。

タイムライン

届出から公開までの日数: 16